Назад | Перейти на главную страницу

http базовая аутентификация с использованием .htacces / .htpasswd, позволяющая вводить неверные пароли

У меня есть несколько сайтов с каталогами, защищенными базовой аутентификацией http, реализованной через файлы .htaccess в паре с файлами .htpasswd. Я заметил, что с паролем, заканчивающимся на "et!" Я могу войти, опустив "t!" Или заменив! с 1.

Содержимое моего файла .htaccess:

AuthType Basic
AuthName "administration"
AuthUserFile /var/www/conf/mysitename.com.pw

require valid-user

У меня два пользователя в mysitename.com.pw.

Очевидно, такое поведение нежелательно. Есть идеи, что происходит?

Посмотри на: http://httpd.apache.org/docs/2.1/misc/password_encryptions.html

Мне кажется, что вы используете пароли в формате CRYPT (по умолчанию на большинстве платформ). Пароли CRYPT используют только первые 8 символов пароля.

Я подозреваю, что ваш пароль превышает длину 8 символов, а «слегка неправильная» часть - это символы в девятой или большей позиции (которые на самом деле не проверяются как часть пароля).

Я бы попробовал сначала стереть и воссоздать файл .pw. Это действительно странная проблема ...

Если это не поможет, проверьте отчеты об ошибках, связанные с вашей версией Apache. я ОЧЕНЬ ВЫСОКО сомневаюсь, что это ошибка.

Хотел бы я знать, куда идти дальше. Надеюсь, когда вы удалите / воссоздадите файл, это решит проблему. Если нет, то надеюсь, что эксперт по Apache скоро забредет сюда ...