Authentication
mod_auth 密碼驗證錯誤?
我有一個在 debian lenny 中執行 apache2 的伺服器。
受.htaccess 保護的文件夾發生了一些奇怪的事情。
基本上,如果您輸入了錯誤的密碼,但由 the_correct_password + _more_chars 組成,它會讓您輸入。如果您以其他方式輸入錯誤的密碼,當然它會告訴禁止。
所以我問,這種行為正確嗎?如果您先輸入正確的密碼+任何其他字元讓您輸入?我怎樣才能讓apache在輸入密碼的開頭檢查一個完全正確的密碼而不是一個正確的密碼。
我希望我以更清楚的方式解釋了這個問題:)
您是否以經典的“crypt”DES 格式儲存密碼(14 個字元長,az、AZ、0-9、“.”和/或“/”字元,例如:“papAq5PwY/QQM”,沒有 $ 登錄加密密碼)?
如果你是,那將解釋它。該格式限制為 8 個字元,因此超過 8 個字元的任何內容都會被忽略。如果正確的密碼是 8 個(或更多)字元,則在末尾添加更多字元不會有任何影響。
要修復它,請改用 MD5 或 SHA 來儲存密碼。如果您使用“
htpasswd
”命令,請在設置密碼時將“-m
”或“-s
”添加到您的選項中。