.htpasswd funktioniert nicht in Firefox

  • Hallo,
    seit Jahren funktioniert der Zugang per .htpasswd mit Firefox bei mir nicht. Mit Chromium funktioniert es, aber erst nach dem zweiten Mal. Also ich muss in Chromium immer zweimal den Usernamen und Passwort eingeben, erst dann funktioniert es. In Firefox kann ich den Usernamen und Passwort so oft eingeben wie ich will, es funktioniert nicht. Deshalb frage ich jetzt hier danach, wieso?

    Firefox 51.0.1 (32-Bit)
    Win 7 SP1

    .htaccess Eintrag:

    Apache Configuration
    <Files wp-login.php>
    AuthName "Admin-Area"
    AuthType Basic
    AuthUserFile "/var/www/virtual/xxx/xxx.xxx/.htpasswd"
    Require valid-user
    </Files>

    EDIT: plus das:

    Code
    <FilesMatch "\.(htaccess|htpasswd)$">
    Order deny,allow
    Deny from all
    </FilesMatch>

    .htpasswd Eintrag:

    Code
    user:$1......................
  • Ich habe mal kurz eine Seite erstellt mit einer .htpasswd Datei
    http://mozhelp.dynvpn.de/dateien/forum/geheim/ User: test und Passwort: 123456

    Code von .htaccess

    Apache Configuration
    #.htaccess
    AuthType Basic 
    AuthName "Login" 
    AuthUserFile /home/***/public_html/***/dateien/forum/geheim/.htpasswd	
    require valid-user 
    order deny,allow 
    deny from all 
    allow from all

    Code von .htpasswd

    Code
    #[B].htusers[/B]
    test:{SHA}fEqNCco3Yq9h5ZUglD3CZJT4lBs=

    Das Passwort wurde mit SHA1 gehasht mit Hilfe dieser Seite http://vsrv.de/cgi-bin/htpasswd.cgi
    In dem Ordner "geheim" liegt nur noch eine index.php die bei erfolgreicher Eingabe die Seite mit dem kurzen Hinweistext zeigt.

    Das funktioniert bei mir alles wunderbar. Bei dir auch?

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Hallo zitronella,

    Zitat

    "Diese Seite sieht man erst, nachdem man Username (test) und Passwort (123456) eingegeben hat."


    funktioniert.

    Bei deinem Passwort ist ein Leerzeichen am Ende?

    Habe das von dir bei mir angewandt (test:123456).
    Das funktionierte in einem Testverzeichnis.
    Habe es dann auf das Wordpress angewandt. Da funktionierte es wiederum nicht. Und ich weiß jetzt auch evtl. warum.
    Ich hatte ein MD5 Passwort mit Sonderzeichen "§".
    Habe dann soeben per Shell das selbe Passwort in SHA1 generiert.
    Da funktionierte es auch nicht.
    Habe jetzt ein SHA1 Passwort ohne dieses Sonderzeichen und es funktioniert.

    Irgendwas habe ich in Erinnerung, dass ein Verfahren keine Sonderzeichen konnte.
    Aber dass es in Chromium geht und in FF nicht?
    Hat FF da Probleme mit Sonderzeichen in Passwörtern?


  • Ich hatte ein MD5 Passwort mit Sonderzeichen "§".
    Habe dann soeben per Shell das selbe Passwort in SHA1 generiert.
    Da funktionierte es auch nicht.


    Hallo kira,

    ich kann hier nicht so richtig mitreden. Aber was mir auffällt, dass du oben das Zeichen § angibst. Das ist das Paragraph-Zeichen. Eigentlich dürfte das kein Sonderzeichen sein, meistens ist das Dollarzeichen $ ein Sonderzeichen. Hast du dich hier nur verschrieben?

    Edit: Ich meine ein geschütztes Sonderzeichen.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress


  • ich kann hier nicht so richtig mitreden.

    Ich auch nicht.... :mrgreen:
    Im 1. Post ist das Zeichen richtig, ich vermute, es ist im Weiteren nur ein Tippfehler...

    Code
    <FilesMatch "\.(htaccess|htpasswd)$">
    Order deny,allow
    Deny from all
    </FilesMatch>

    .htpasswd Eintrag:

    Code
    user:$1......................
  • milupo und Boersenfeger,
    Ihr meint was anderes.
    Ich meinte, dass ich ein Sonderzeichen "§" im unverschlüsselten Passwort verwendet hatte.
    Beispiel-Passwort unverschlüsselt: "123§456"
    Ihr meint die Zeichen im MD5 verschlüsselten Passwort.
    Beispiel-Passwort MD5 Hash: "$1$CfnzE]u|$2kzjA6LwM2JY5QYJ4SZNf."

    Jetzt erinnere ich mich auch wieder, warum das Zeichen "§" nicht funktioniert, bzw. warum es unter Umständen nicht funktionieren kann, nämlich dann, wenn ein Programm, das dabei verwendet wird, kein UTF-8 kann. Firefox scheint da Probleme zu haben?
    Zitronella, probiere bitte bei dir mal ein Passwort mit "§".

    Das klingt jetzt verdammt komisch: "Sichere" Passwörter, die auch überall funktionieren, bestehen nur aus Zeichen aus dem ASCII Zeichensatz:
    !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~

  • Das Passwort wurde mit SHA1 gehasht mit Hilfe dieser Seite http://vsrv.de/cgi-bin/htpasswd.cgi

    Die Formulierung auf dieser Seite "SHA1(am sichersten)" ist aber auch irreführend. Sicherer als MD5 ist das natürlich, praktisch alles ist sicherer als MD5. Aber SHA-1 gilt als unsicher. Spätestens seit diesen Tagen sollte das bei jedem angekommen sein, über die erfolgreiche SHA-1-Kollisions-Attacke, die Google demonstriert hat, war ja überall zu lesen. Wenn schon Verschlüsselung, dann sollte bcrypt (nicht crypt!) verwendet werden. Das ist die einzige sichere Methode, welche von Apache unterstützt wird. Und da hier von .htaccess und .htpasswd die Rede ist, geht es ja klarerweise um Apache.

  • Hättest du ruhig anmerken können, in meinen Augen ist das nämlich sehr relevant, auch wenn nicht direkt danach gefragt worden ist. Denn wer etwas mit einem Passwort schützt, will sehr wahrscheinlich, dass der Schutz wirksam ist. Und ich gehe mal davon aus, dass sich viele überhaupt nicht im Klaren darüber sind, dass es verschieden sichere Methoden gibt und welche Methode im aktuellen Jahr überhaupt noch als sicher gilt. Die meisten Generator-Seiten für sowas, die mir bisher untergekommen sind, wurden zu Zeiten erstellt, da galt sogar MD5 noch als sicher. Da erfährt man also nichts darüber. ;)

  • Wenn schon Verschlüsselung, dann sollte bcrypt (nicht crypt!) verwendet werden.


    Da magst du vollkommen recht haben, aber dieser Hinweis nützt einem gar nichts, wenn auf dem (shared) Server, auf dem man seinen (virtual) Host hat, noch kein Apache 2.4 ist. Mit Apache 2.2 muss man sich mit MD5, SHA1 und crypt! begnügen.