Nginx + Google-authenticator или не все не так просто…

[SilenceAndy]

я взял последний стабильный 1.5.7

Стабильный 1.4.4. А 1.5.х это mainline (версия в разработке).

[rukhem]

да вы правы.

[VBart]

Mainline не менее стабильный. А чаще всего более, поскольку содержит больше исправлений.

«Stable» — следует понимать как stable api for 3rd-party developers.

[rukhem]

Незнаю — проверьте отпишитесь :)

[marchelly]

По разным причинам пришлось отказаться от авторизации auth_basic и файла с паролями, несекурно и все тут

Можно поподробнее, пожалуйста, так как это основная и единственная причина, по которой была проведена работа. Какие конкретно недостатки у nginx auth_basic?
Спасибо!

[rukhem]

Основная причина в том что он ломается brute force_ом.
Даже если вы раздаете 16-32-100 random char пароли, при генерации хеша используется только первые 8 символов.
То есть при auth_basic можно вводить только первые 8 символов пароля ;) ну и перебирать тоже только 8 символов ;)

Вот мне подсказали доку:
httpd.apache.org/docs/current/misc/password_encryptions.html

[llivejo]

извините за некропостинг, но вы путаете формат хранения паролей на сервере с механизмом аутентификации

«при auth_basic можно вводить только первые 8 символов пароля» — это неверно.

если использовать стандартный CRYPT в файлах basic auth, то да,
но можно же юзать и SHA512-CRYPT, который не обрезает пароль по восьми символам,
и ломать перебором нереально

при этом оставаясь на http basic auth

[esinev]

Уже год используем маленький сервлет на java для проверки аутентификации к выбранным ресурсам в nginx. Используется связка Google-authenticator + LDAP — github.com/evsinev/nginx-auth

Тоже подключается к nginx через internal директиву.

[rukhem]

Нашлось еще под FF GAuth Authenticator for FF