nicht angemeldet
Apache 1.3x / Basic Auth / Username + Passwortlänge
Hallo,
nur zwei kurze Fragen, die ich in der Doc nicht beantwortet finde. Oder ich seh wieder mal den Wald vor lauter Bäumen nicht[1].
1. Wo finde ich Regeln für den Benutzernamen in der Basic Auth, also z.B.: geht 'RA Müller'?
2. Stimmt es (noch), dass das Passwort nur auf 8 Zeichen Länge ausgewertet wird, oder ist das eine Urban Legend?
Gruss & Dank, Thoralf
[1] </archiv/2003/8/55004/#m306431>
--
Sic Luceat Lux!
Sic Luceat Lux!
-
Hi,
- Wo finde ich Regeln für den Benutzernamen in der Basic Auth, also z.B.: geht 'RA Müller'?
in RFC 2617, http://www.ietf.org/rfc/rfc2617.txt. Tipp: Suche nach "userid".
- Stimmt es (noch), dass das Passwort nur auf 8 Zeichen Länge ausgewertet wird, oder ist das eine Urban Legend?
Der Verschlüsselungsalgorithmus crypt hat sich bisher nicht verändert.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hallo Blauäffchen, ;o)
in RFC 2617, http://www.ietf.org/rfc/rfc2617.txt. Tipp: Suche nach "userid".
Besten Danke für die schnelle Antwort. Da ich dort nur was über die Längenbegrenzung finde, scheint mir also die einzige mögliche Schwachstelle die Übertragung zwischen Browser und Server zu sein. Base64 Encoding muss also auf beiden Seiten gleich sein.
Der Verschlüsselungsalgorithmus crypt hat sich bisher nicht verändert.
Schade, 8 Zeichen Passwort ist nicht so wirklich lang. ;)
Gruss, Thoralf
--
Sic Luceat Lux! -
Hi Cheatah,
Der Verschlüsselungsalgorithmus crypt hat sich bisher nicht verändert.
was hat der Verschlüsselungsmechanismus mit der Authentifizierungsmethode zu tun?
(Auch in "Basic" gibt es SHA und MD5.)Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hi,
Der Verschlüsselungsalgorithmus crypt hat sich bisher nicht verändert.
was hat der Verschlüsselungsmechanismus mit der Authentifizierungsmethode zu tun?nichts, genauso wenig wie die spezielle Frage.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi Cheatah,
nichts, genauso wenig wie die spezielle Frage.
die erste der beiden Fragen nannte explizit "AuthType Basic" als Kontext - wieso hast Du nicht diesen verwendet, sondern eine irrelevante Einschränkung von "crypt"?
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hi,
die erste der beiden Fragen nannte explizit "AuthType Basic" als Kontext - wieso hast Du nicht diesen verwendet, sondern eine irrelevante Einschränkung von "crypt"?
die Einschränkung mag irrelevant sein, trifft aber IMHO die Praxis dieses Falles.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hallo,
die Einschränkung mag irrelevant sein, trifft aber IMHO die Praxis dieses Falles.
Bei mir konkret nicht. ;) Ging mir in der Tat um die Frage, ob beim entsprechenden Verfahren dass Passwort begrenzt wird. Dass crypt auf 8 Zeichen begrenzt ist, war mir schon klar. Nur eben war ich mir nicht sicher, ob crypt zwingend ist, was ich nach Deiner Antwort nun zunächst gedacht hatte.
Macht aber nichts, da ich letztlich den Punkt gefunden habe, zu dem ich wollte. ;)Gruss, Thoralf
--
Sic Luceat Lux!-
Hi,
die Einschränkung mag irrelevant sein, trifft aber IMHO die Praxis dieses Falles.
Bei mir konkret nicht. ;)okay, mein Fehler :-)
Dass crypt auf 8 Zeichen begrenzt ist, war mir schon klar. Nur eben war ich mir nicht sicher, ob crypt zwingend ist,
Ich hatte das umgekehrt geschlussfolgert. Sorry.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
N'Abend,
Sorry.
Na da nicht für. :o)
Gruss, Thoralf
--
Sic Luceat Lux!-
Hi,
Sorry.
Na da nicht für. :o)okay, dann eben nicht. Vergiss es also.
Cheatah ;-)
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
-
-
-
-
-
-
-
-
Hi Thoralf,
- Stimmt es (noch), dass das Passwort nur auf 8 Zeichen Länge ausgewertet wird, oder ist das eine Urban Legend?
htpasswd.exe -cm neun.dat 123456789
New Password: 123456789
Re-Type new Password: 123456789
Adding password for user 123456789Dabei entsteht eine Datei ungefähr folgenden Inhalts:
123456789:$apr1$Bs5.....$RiqCMDuTwBV9pn5YHot8I/
Und dann ausprobieren, was passiert, wenn Du "12345678" eingibst - Du wirst abgewiesen werden.
Du kannst längere Benutzernamen und Kennworte als 8 Zeichen mit "AuthType Basic" verwenden.
crypt ist auf 8 Zeichen begrenzt, "AuthType Basic" nicht.Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hallo Michael,
Du kannst längere Benutzernamen und Kennworte als 8 Zeichen mit "AuthType Basic" verwenden.
crypt ist auf 8 Zeichen begrenzt, "AuthType Basic" nicht.Besten Dank. Ich muss mich mal schlau machen, aber soweit ich weiss, nutzt mein Provider MD5 und ist also rein von der Verschlüsselung her nicht auf die 8 Zeichen begrenzt. Der Indianer hat da also auch keine Grenzen. ;)
Gruss, Thoralf
--
Sic Luceat Lux!-
Hi Thoralf,
Besten Dank. Ich muss mich mal schlau machen, aber soweit ich weiss, nutzt mein Provider MD5 und ist also rein von der Verschlüsselung her nicht auf die 8 Zeichen begrenzt. Der Indianer hat da also auch keine Grenzen. ;)
wer redet von Deinem Provider? Der "nutzt" einen Apache, und die Passwort-Dateien schreibst Du selbst (wie in meinem Posting angegeben).
Abgesehen davon solltest Du auch mal einen Blick auf "AuthType Digest" werfen, wenn Du es verschmerzen kannst, Netscape 4 und 6 auszuschließen.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hallo Michael,
wer redet von Deinem Provider? Der "nutzt" einen Apache, und die Passwort-Dateien schreibst Du selbst (wie in meinem Posting angegeben).
Ja, aber wenn die Seiten aufgerufen werden, muss doch 'jemand' das übergebene Passwort 'verschlüsseln' und es mit dem gespeicherten Hash vergleichen, oder?
Abgesehen davon solltest Du auch mal einen Blick auf "AuthType Digest" werfen, wenn Du es verschmerzen kannst, Netscape 4 und 6 auszuschließen.
Kommt leider nicht in Frage, da ich mit Netscape 4 zumindest rechnen muss. :/
Gruss, Thoralf
--
Sic Luceat Lux!-
Hi Thoralf,
wer redet von Deinem Provider? Der "nutzt" einen Apache, und die Passwort-Dateien schreibst Du selbst (wie in meinem Posting angegeben).
Ja, aber wenn die Seiten aufgerufen werden, muss doch 'jemand' das übergebene Passwort 'verschlüsseln' und es mit dem gespeicherten Hash vergleichen, oder?Yep. Aber ob der Apache das tut (d. h. die entsprechenden Module "an BOrd" sind), siehst Du schon daran, daß die Direktiven, welche Du in Deiner .htaccess-Datei verwenden mußt (für "AuthType Digest" wären es andere als für "AuthType Basic") vom Apache unterstützt werden (statt einen Internal Server Error zu produzieren).
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hallo Michael,
ich werde das auf jeden Fall einfach mal testen.
Yep. Aber ob der Apache das tut (d. h. die entsprechenden Module "an BOrd" sind), siehst Du schon daran, daß die Direktiven, welche Du in Deiner .htaccess-Datei verwenden mußt (für "AuthType Digest" wären es andere als für "AuthType Basic") vom Apache unterstützt werden (statt einen Internal Server Error zu produzieren).
Aber ob der Apache zur Verschlüsselung das gute alte Crypt (mit seiner Begrenzung), wie von Cheatah angenommen, verwendet oder eben etwas anderes, kann ich nur per Trial&Error erfahren?
Gruss, Thoralf
--
Sic Luceat Lux!-
Hi Thoralf,
Aber ob der Apache zur Verschlüsselung das gute alte Crypt (mit seiner Begrenzung), wie von Cheatah angenommen, verwendet oder eben etwas anderes, kann ich nur per Trial&Error erfahren?
Apache unterstützt alle (drei bzw. vier) Methoden (crypt, SHA, MD5 und unter Windows auch Klartext - hoffentlich bin ich halbwegs auf dem aktuellen Stand ...).
Die User/Passwort-Einträge dürfen sogar gemischt in derselben Datei enthalten sein!
Sie haben unterschiedliche Formate, und der Apache weiß, wie er sie jeweils zu interpretieren hat. (Deshalb gibt es auch keine Direktive, welche erklärt, in welchem Format die Credentials in der .htusers-Datei stehen - alles ist erlaubt.)Erzeuge Dir mit htpasswd mal einen Eintrag für dieselbe Kombination in allen Formaten und vergleiche.
Danach erzeuge drei verschiedene username/passwort-Kombinationen (beispielsweise "crypt", "md5" und "sha" mit beliebigen Passworten) jeweils im gleichnamigen Format, füge sie zu einer gemeinsamen .htusers-Datei zusammen (per Editor) und probiere dann mal die entsprechenden Logins durch ... ich habe so etwas hier auf meinem PC mal gemacht.Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
-
-