1 votes

Utilisateur non enregistré avatar

http basic auth utilisant .htacces/.htpasswd permettant des mots de passe légèrement incorrects

Demandé el 7 de Juillet, 2010
Quand la question a-t-elle été
841 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai quelques sites dont les répertoires sont protégés par une authentification de base http mise en œuvre via des fichiers .htaccess associés à des fichiers .htpasswd. J'ai remarqué qu'avec un mot de passe se terminant par "et !" je peux y accéder en omettant le "t !", ou en remplaçant le ! par un 1.

Contenu de mon fichier .htaccess :

AuthType Basic
AuthName "administration"
AuthUserFile /var/www/conf/mysitename.com.pw

require valid-user

J'ai deux utilisateurs dans le fichier mysitename.com.pw.

Il est évident que ce comportement n'est pas souhaité. Une idée de ce qui se passe ?

Demandé el 7 de Juillet, 2010 par Utilisateur non enregistré

0 votes

Avatar de Utilisateur non enregistré

Spécifier SHA1 ou MD5 (htpasswd -s ou -m) était la solution.

Commenté el 7 de Juillet, 2010 par Utilisateur non enregistré

Réponses

Trop de publicités?

6voto

Evan Anderson avatar
Evan Anderson Points 140581

Jetez un coup d'oeil : http://httpd.apache.org/docs/2.1/misc/password_encryptions.html

Il me semble que vous utilisez des mots de passe au format CRYPT (le format par défaut sur la plupart des plateformes). Les mots de passe CRYPT n'utilisent que les 8 premiers caractères du mot de passe.

Je soupçonne que votre mot de passe dépasse 8 caractères et que la partie "légèrement incorrecte" est constituée de caractères en neuvième position ou plus (qui ne sont pas réellement vérifiés comme faisant partie du mot de passe).

Répondu el 7 de Juillet, 2010 par Evan Anderson (140581 Points )

0 votes

Avatar de Utilisateur non enregistré

La page de manuel ne mentionne pas la valeur par défaut sur les systèmes linux. CRYPT est-il la valeur par défaut lors de l'utilisation du binaire htpasswd sans -m, -d ou -s ?

Commenté el 7 de Juillet, 2010 par Utilisateur non enregistré

0 votes

Avatar de Marcin

Essayez de changer l'algorithme de hachage en SHA1 ou MD5, voyez si cela résout le problème.

Commenté el 7 de Juillet, 2010 par Marcin

0voto

mistiry avatar
mistiry Points 276

J'essaierais d'abord d'effacer et de recréer le fichier .pw. C'est un problème vraiment étrange...

Si cela ne résout pas le problème, consultez les rapports de bogue relatifs à votre version d'Apache. I HAUTEMENT HAUTEMENT Je doute que ce soit un bug, cependant.

J'aimerais savoir où aller à partir de là. J'espère qu'en supprimant/recréant le fichier, le problème sera résolu. Sinon, j'espère qu'un expert Apache passera bientôt par ici...

Répondu el 7 de Juillet, 2010 par mistiry (276 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X