Jörg Reinholz: htpasswd-Generator - Update

Moin!

Da ich genau weiß, dass einige der hier ständig mit lesenden auch meinen htpasswd-Generator im Dienst haben, gebe ich bekannt: Es gibt eine neue Version. (Download als Text-Datei, Konfiguration bearbeiten und in htpasswd.php umbenennen).

Das ist nicht etwa ein Sicherheitsupdate nach Fehlern, die neue Version kann aber sicherere, für den Apache 2.4 also geeignetere Hashes mit der "neuen" Funktion bcrypt (genauer: password_hash() ) erzeugen. Für die älteren Indianer gibt es leider nur das (unsichere) Hashen mit sha1() - hier sollte noch mehr als bei der Verwendung des Apache 2.4 darauf geachtet werden, dass Brute-Force Attacken unterbunden werden (z.B. mit fail2ban) - nur ist es dann wieder so, dass derjenige, der fail2ban installieren und konfigurieren kann (darf), häufig auch den Apache 2.4 installieren kann, darf ... und sollte.

Die alten (Apache-md5)Hashes funktionieren noch, ein rehashing ist aber nicht möglich. Die Passwörter müssen "geändert" werden um das, auf dem Apache 2.4 deutlich höhere Sicherheitsniveau zu erreichen.

Jörg Reinholz