htaccess und MD5-verschlüsselung
 

hallo an alle,

Die ausgangslage:

ich habe eine datei mit .htaccess geschützt. das funktioniert.

das problem:

leider ist das passworet in .htusers unverschlüsselt gespeichert und kann folglich auch nur unverschlüsselt übertragen werden.

nun ist überall von der MD5-verschlüsselung zu lesen und genausoviele passwortgeneratoren werden feil geboten. was ich gerne wissen würde ist, wie sage ich dem server, das das passwort verschlüsselt gespeichert ist. bzw. wo trage ich das wie ein?

die seite http://de.selfhtml.org/servercgi/server/htaccess.htm habe ich 1000 mal durchgelesen, aber der springende punkt wird da nicht beschrieben.

wer weiß rat, oder kann mir den rechten wink dahin geben?

danke schon mal im voraus...

AW: htaccess und MD5-verschlüsselung
 

Hier verwechseltst Du Äpfel mit Birnen.

Das Passwort in Deiner .htusers wird nicht mittels md5 verschlüsselt! Verschlüssele das/Dein Passwort mit einem der Passwortgeneratoren und speichere das Ergebnis der Verschlüsselung in Deiner .htusers.

Zum Beispiel:

AW: htaccess und MD5-verschlüsselung
 

hm, ja schon.

das verschlüsseln und eintragen krieg ich schon hin. es klappt ja auch wunderbar mit unverschlüsselten passwörtern. dummerweise verweigert er dann den zugriff. deshalb bilde ich mir ein, das man irgendwo eintragen muß (gar in der http.conf?), das da jetzt ein verschlüsseltes passwort in der datei steht und keins in reinschrift.

verschlüsselt hatte ich die passwörter meiner mehreren versuche mit dem generator der oben verlinkten seite.

also das ENTschlüsseln ist wohl mein problem. denke ich mal... oder was verwechsel ich da?

AW: htaccess und MD5-verschlüsselung
 

Was?


Wann?


Da ist nix einzutragen.


Nein, dass übernimmt der Indianer für Dich.

AW: htaccess und MD5-verschlüsselung
 

also:

im moment hab ich für den htaccess-schutz ein unverschlüsseltes passwort eingetragen.
damit funktioniert der zugriff auf die gesperrte datei. mit richtigem passwort voller zugriff, bei falschem passwort poppt wieder das popup auf, nach dem dritten falschen versuch gibts fehler 401.

wenn ich das passwort vom passwortgenerator verschlüsseln lasse, das dann in der .htusers anstatt des unverschlüsselten passworts eintrage, bekomme ich keinen zugriff und der server tut so, als wenn ich ein falsches passwort eintragen würde. popup kommt 2 mal, beim dritten fehlversuch gibts fehler 401.

oder macht der passwortgenerator einen fehler?

AW: htaccess und MD5-verschlüsselung
 

unverschlüsselten passworte sind beim zugriffsschutz per htaccess imho nicht möglich.

erscheint überhaupt das popup zur eingabe von user / pwd ?

probier' mal andere pwd-generatoren aus. ich habe auch die erfahrung gemacht, dass das ganze (aus mir persönlich unerklärlichen gründen) manchmal nicht besonders zuverlässig funktioniert.

cx

AW: htaccess und MD5-verschlüsselung
 

dann muß ich wohl was falsch machen.

also: das passwort (oder auch für verschiedene nutzer jeweils verschiedene) trage ich in reinschrift in die ".htusers" ein. so wie oben von mir gezeigt. will jemand die geschützte seite aufrufen, erscheint das popup in dem username und das dazu passende passwort eingetragen wird. wenn username und passwort genau gleich denen in der ".htusers" eingetragen werden, klappt auch das einloggen.

alles so in benutzung seit 2 jahren. streng nach anleitung von http://de.selfhtml.org/servercgi/server/htaccess.htm. fehler lässt htaccess offenbar keine zu und benimmt sich völlig fehlerintollerant. daraus schließe ich, das es so schon richtig ist, wie ich es mache.

jetzt habe ich 7 generatoren ausprobiert. und siehe da! der von selfhtml spukt doch tatsächlich müll aus.

die 6 anderen:

1. http://www.coolix.com/md5-generator.php
2. http://www.01-scripts.de/passgen.php
3. http://www.waerp.de/generatoren.php?generator=md5
4. http://felix-tschoerner.de/cmsms/ind...wort-generator
5. http://www.tibit.de/component/option...id,85/lang,de/
6. http://www.solid-design.at/scripts-md5-generator.html

aber exakt die selben ergebnisse.

-------------------------------------------------------

problem: es hat sich nichts geändert. kein einloggen mit verschlüsseltem passwort.

oder anders ausgedrückt, der indianer weiß nicht dass er das passwort aus der ".htusers" vor dem vergleichen mit dem ins popup eingetragenen erst entschlüsseln muß. denke ich zumindest. jedenfalls kann ich mir nicht vorstellen, das der apache von alleine weiß, ob ein passwort verschlüsselt gespeichert ist, oder nicht. oder aber er probiert immer beide versionen aus, was aber doch unprofessionell wäre?

ratlose grüße...

AW: htaccess und MD5-verschlüsselung
 

hm... sehr erstaunlich.

kann mich dunkel erinnern, dass ich mich auch schon mal mit dem teil herumgeärgert habe - bei meinem letzten (und einzigem) htaccess-experiment vor ein paar jahren.

leider weiss ich an der stelle auch nicht weiter. dass die passworte als klartext (nicht reinschrift ;-) gespeichert werden, ist zwar sehr unschön, aber es funktioniert erst einmal bzw. seit 2 jahren .-

hast du mal darüber nachgedacht, eine skript- / datenbank-basierte zugangskontrolle aufzusetzen? das gequäle mit htaccess...

cx

AW: htaccess und MD5-verschlüsselung
 

Worauf läuft Dein Indianer? Windows oder UNIX?

Lass mich vermuten: WINDOWS.

AW: htaccess und MD5-verschlüsselung
 

das sollte jedoch keine rolle spielen. nun gut... sollte .-

cx