htaccess Sicherheitsluecke

[hptools]

Hallo,

folgendes Problem habe ich entdeckt.

Angenommen wir haben einen htaccess Passwort-Schutz mit dem Passwort "test". Gebe ich das Passwort "test" ein, werde ich durchgelassen, soweit klar.

Gebe ich aber auch das Passwort "test1234sdfs" ein, werde ich ebenfalls durchgelassen.

Soll heissen, dass ich an das Passwort beliebige Zeichenfolgen hinten ranhaengen kann.

Das passiert nicht bei allen Webservern. Ich hab es mit mehreren mir zur Verfuegung stehenden ausprobiert und festgestellt, dass es bei einigen funktioniert und bei anderen nicht. Ist das Problem bereits bekannt?
Gibt es Loesungen?

Mit freundlichen Gruessen,
Patrick Sasky

 

[andy]

wie sieht dan deine htaccess datei aus ?
poste mal den code, es giebt da naehmlich verschiedene,.
einige laufen auf gewissen server gar nicht, das kommt immer auf die einstellungen darauf an !

 

[linkudu]

also das hab ich auch noch nicht gehört - da bin ich ja mal gespannt ....
das wär was ... welche webserver-config bringt denn diesen bug?


linkudu

 

[andy]

hatte mit hamlet das selbe problem, da ich das schon mal hatte, gab ich ihm auch ein anderes htacces, und siehe da, es gieng.

probier mal ob das hier geht.

http://htaccess-generator.erotik-webmaster-forum.com

ansonsten, kann ich dir noch ne andere variante geben, aber muesste erst suchen...