У меня проблема, когда мой сервер принимает неверный пароль для моего сайта.
Например, мое доменное имя может быть «johndoe.com», а сценарий -
Что отлично работает, чтобы войти в меня, однако есть небольшая проблема. По какой-то причине я также могу использовать свой логин в качестве пароля, и он меня впустит! Я попытался использовать случайный пароль, но это не сработало (ожидаемое поведение).
Я посмотрел на свой .htpasswd, и он выглядит так:
johndoe:rpFVb9n8R.p9c
Так как же мой пароль и мое имя для входа работают как верный пароль? Это выше меня: /
Судя по хешу, вы, возможно, используете в качестве пароля crypt. Старые версии crypt эффективно используют только первые 8 символов вашего пароля, поэтому, если общий префикс вашего имени пользователя и пароля длиннее, чем это, это вызовет симптомы, которые вы видите.
Не используйте crypt, используйте вместо этого SHA; бегать htpasswd с -s флаг, например
$ htpasswd -bs /path/to/htpasswd johndoe johndoe123