Egy érdekes bugra leltem az Apache-ban:
Ha egy oldalt .htaccess és .htpasswd párossal szeretnék védeni, akkor nem pontosan azt a jelszót fogadja el amit beállítok neki:
Ha a jelszó számot vagy spec. karaktert tartalmaz, akkor az utólsó normál latin karakter után _akármit_ írhatok vagy akár elhagyhatom, be fog engedni.
pl: a jelszó eiDTes345=%
akkor ezt is elfogadja: eiDTes
és ezt is: eiDTes345=%dfasdfawvrawva
Több serveren és kliensen is kipróbáltam.
A felhasználónévnek pontosnak kell lennie.
Mindkét esetben Ubuntu Serverről volt szó és Apache 2 -ről
Láttatok már ilyet? Ez bug, vagy valamit be lehet állítani, hogy ne így legyen?
- 1923 megtekintés
Hozzászólások
nem lehet, hogy csak 6 karakteres jelszavakat kezel, és a többit elhagyja?
Nem ez lenne az első ilyen eset....
- A hozzászóláshoz be kell jelentkezni
jó tipp, 8 karakter a megfejtés, legalábbis nálam.
akkor mégse a szám/spec karakter a kiváltó ok, ez csak téves megfigyelés volt.
-----------------------------
Ubuntu 8.04
- A hozzászóláshoz be kell jelentkezni
Nálam is.
Ubuntu 8.04 32bit, up-to-date apache2-vel
- A hozzászóláshoz be kell jelentkezni
man htpasswd:
When using the crypt() algorithm, note that only the first 8 characters
of the password are used to form the password. If the supplied password
is longer, the extra characters will be silently discarded.
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Szerintem ez azert hasznalhatobb.
--
1 leszel vagy 0 élő vagy hulla!
- A hozzászóláshoz be kell jelentkezni
htpasswd -m
vagy
htpasswd -s
Ha Windows-on futó apache-on is próbáltad volna (az ottani htpasswd-vel kreált jelszófájllal), akkor nem jelentkezett volna a probléma, u.i. ott az md5() a default, aminél nincs ilyen hosszra vonatkozó kitétel.
- A hozzászóláshoz be kell jelentkezni