https://www.bravotouring.com/~yano/archives/2015/05/22/ Recent content in 2015/05/22 on Yano's digital garage Hugo en-us Fri, 22 May 2015 09:32:28 +0900 https://www.bravotouring.com/~yano/diary/it/20150522basicauth.htm Fri, 22 May 2015 09:32:28 +0900 https://www.bravotouring.com/~yano/diary/it/20150522basicauth.htm <p>とある案件で<a href="http://ja.wikipedia.org/wiki/REST">REST</a>APIによる"ユーザ認証"の振舞いを確認しようとして、予てより<a href="http://httpd.apache.org/">Apache HTTP Server</a>に登録してあるユーザアカウントを流用して検証していたのだが、期待とは裏腹に<span class="Warning">"401:認証エラー"とならない</span>事があった。</p> <p>具体的には、"PaSsWoRd"というパスワード設定に対して"PaSsWoRdXyZ"を与えたのに「認証OK」と判断されてしまったので、「何か設定しくじってるのかな～？」とググったら、<a href="https://www.softel.co.jp/blogs/tech/archives/2408">【apache】ベーシック認証で8文字以上の長いパスワードを設定するときの注意</a>というのを発見。</p> <p>確かに<a href="http://httpd.apache.org/docs/2.4/programs/htpasswd.html">htpasswd - Manage user files for basic authentication</a>の「Security Considerations(セキュリティ考慮事項)」には <blockquote cite="http://httpd.apache.org/docs/2.4/programs/htpasswd.html"> When using the crypt() algorithm, note that <span class="Warning">only the first 8 characters</span> of the password are used to form the password. If the supplied password is longer, the extra characters will be silently discarded.</blockquote> ざっくり意訳すると<blockquote> crypt()アルゴリズムを使用する場合、パスワードの<span class="Warning">最初の8文字分</span>しか使用されないことに注意してください。与えられたパスワードが長い場合、余分な文字は黙って破棄されます。</blockquote>と書いてあったよ。</p> <p><span class="Software">Windows</span>版の場合は<a href="http://ja.wikipedia.org/wiki/MD5">MD5</a>アルゴリズムがデフォルトとなっている事から<span class="Warning">最初の8文字</span>の呪縛は無いそうなので、<span class="Software">Linux</span>版も<a href="http://ja.wikipedia.org/wiki/MD5">MD5</a>をデフォルトにしなくちゃダメでしょ、と思ってUbuntu 14.04の<span class="Software">htpasswd</span>を確認したところ <blockquote class="Log"> yano@GT110b:~$ htpasswd -nb userhoge password<br/> userhoge:$apr1$UQ0/lsy.$gpZwn.kvveLE5pYxs5eaW.<br/><br/> yano@GT110b:~$ htpasswd -nb userhoge passwordXYZ<br/> userhoge:$apr1$jpjd1bYr$Wv/R7ai0xF6j.v6HAMe4s0<br/><br/> </blockquote> …と異なる結果になったので、「おや？」と思いhelpをみたところ <blockquote class="Log"> yano@GT110b:~$ <span class="Software">htpasswd</span> --help<br/> Usage:<br/> htpasswd [-cimBdpsDv] [-C cost] passwordfile username<br/> htpasswd -b[cmBdpsDv] [-C cost] passwordfile username password<br/> <br/> htpasswd -n[imBdps] [-C cost] username<br/> htpasswd -nb[mBdps] [-C cost] username password<br/> -c Create a new file.<br/> -n Don't update file; display results on stdout.<br/> -b Use the password from the command line rather than prompting for it.<br/> -i Read password from stdin without verification (for script usage).<br/> -m Force <span class="Topics">MD5</span> encryption of the password <span class="Topics">(default)</span>.<br/> -B Force bcrypt encryption of the password (very secure).<br/> -C Set the computing time used for the bcrypt algorithm<br/> (higher is more secure but slower, default: 5, valid: 4 to 31).<br/> -d Force CRYPT encryption of the password (8 chars max, insecure).<br/> -s Force SHA encryption of the password (insecure).<br/> -p Do not encrypt the password (plaintext, insecure).<br/> -D Delete the specified user.<br/> -v Verify password for the specified user.<br/> On other systems than Windows and NetWare the '-p' flag will probably not work.<br/> The SHA algorithm does not use a salt and is less secure than the MD5 algorithm.<br/> yano@GT110b:~$ </blockquote> という結果となり、<span class="Topics">デフォルトMD5</span>になっている事が確認できたので、今回<span class="Warning">最初の8文字分</span>しか効かなかったのは、10年近くも昔の設定を安易に使い回してきたのが原因のようだ。</p>