Authentication

mod_auth 密碼驗證錯誤?

  • September 12, 2010

我有一個在 debian lenny 中執行 apache2 的伺服器。

受.htaccess 保護的文件夾發生了一些奇怪的事情。

基本上,如果您輸入了錯誤的密碼,但由 the_correct_password + _more_chars 組成,它會讓您輸入。如果您以其他方式輸入錯誤的密碼,當然它會告訴禁止。

所以我問,這種行為正確嗎?如果您先輸入正確的密碼+任何其他字元讓您輸入?我怎樣才能讓apache在輸入密碼的開頭檢查一個完全正確的密碼而不是一個正確的密碼。

我希望我以更清楚的方式解釋了這個問題:)

您是否以經典的“crypt”DES 格式儲存密碼(14 個字元長,az、AZ、0-9、“.”和/或“/”字元,例如:“papAq5PwY/QQM”,沒有 $ 登錄加密密碼)?

如果你是,那將解釋它。該格式限制為 8 個字元,因此超過 8 個字元的任何內容都會被忽略。如果正確的密碼是 8 個(或更多)字元,則在末尾添加更多字元不會有任何影響。

要修復它,請改用 MD5 或 SHA 來儲存密碼。如果您使用“ htpasswd”命令,請在設置密碼時將“ -m”或“ -s”添加到您的選項中。

引用自:https://serverfault.com/questions/180256