论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-06-04 11:19 |只看该作者 |倒序浏览

我发现一个问题，用apache的htpasswd创建的密码文件，即使你设的密码是10个字符的，在http基本验证的时候只要输入前8个字符就可以通过验证。nginx和apache的http基本验证都是这样。请问有人知道为什么吗？谢谢！

apache和nginx http基本验证的配置段如下：
  AuthType Basic
  AuthName "Access Restricted"
  AuthUserFile /etc/httpd/conf/passwords
  Require valid-user

auth_basic          "Restricted";
auth_basic_user_file  /usr/local/nginx-0.7.24/conf/htpasswd;

文库|博客

一刀砍死

富足长乐

论坛徽章:: 0

2楼 [报告]

发表于 2009-06-04 16:19 |只看该作者

没有实验过，如果真是这样估计得改源码了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

wlong2000joint

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2009-06-04 20:30 |只看该作者

用httpwatch观察：输入前8位和输入完整的密码（都能通过验证哦），http Headers的区别：

Authorization Basic d6xjbkc6MTEzNDU2Nzg=
Authorization Basic d6xjbkc6MTEzNDU2Nzg5MGFiY2Q=

请问这是为什么呢？是httpd基本验证就是只能支持8个字符的密码？还是htpasswd工具的问题？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

wlong2000joint

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2009-08-03 12:25 |只看该作者

是要加-m参数，强制使用MD5。受人指点，仔细看了htpasswd --help才知道。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › IT运维 › 服务器应用 › htpasswd http基本验证

[Web] htpasswd http基本验证 [复制链接]

浏览过的版块