1 votes

http basic auth utilisant .htacces/.htpasswd permettant des mots de passe légèrement incorrects

J'ai quelques sites dont les répertoires sont protégés par une authentification de base http mise en œuvre via des fichiers .htaccess associés à des fichiers .htpasswd. J'ai remarqué qu'avec un mot de passe se terminant par "et !" je peux y accéder en omettant le "t !", ou en remplaçant le ! par un 1.

Contenu de mon fichier .htaccess :

AuthType Basic
AuthName "administration"
AuthUserFile /var/www/conf/mysitename.com.pw

require valid-user

J'ai deux utilisateurs dans le fichier mysitename.com.pw.

Il est évident que ce comportement n'est pas souhaité. Une idée de ce qui se passe ?

0 votes

Spécifier SHA1 ou MD5 (htpasswd -s ou -m) était la solution.

6voto

Evan Anderson Points 140581

Jetez un coup d'oeil : http://httpd.apache.org/docs/2.1/misc/password_encryptions.html

Il me semble que vous utilisez des mots de passe au format CRYPT (le format par défaut sur la plupart des plateformes). Les mots de passe CRYPT n'utilisent que les 8 premiers caractères du mot de passe.

Je soupçonne que votre mot de passe dépasse 8 caractères et que la partie "légèrement incorrecte" est constituée de caractères en neuvième position ou plus (qui ne sont pas réellement vérifiés comme faisant partie du mot de passe).

0 votes

La page de manuel ne mentionne pas la valeur par défaut sur les systèmes linux. CRYPT est-il la valeur par défaut lors de l'utilisation du binaire htpasswd sans -m, -d ou -s ?

0 votes

Essayez de changer l'algorithme de hachage en SHA1 ou MD5, voyez si cela résout le problème.

0voto

mistiry Points 276

J'essaierais d'abord d'effacer et de recréer le fichier .pw. C'est un problème vraiment étrange...

Si cela ne résout pas le problème, consultez les rapports de bogue relatifs à votre version d'Apache. I HAUTEMENT HAUTEMENT Je doute que ce soit un bug, cependant.

J'aimerais savoir où aller à partir de là. J'espère qu'en supprimant/recréant le fichier, le problème sera résolu. Sinon, j'espère qu'un expert Apache passera bientôt par ici...

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X