Все потоки
Поиск
Написать публикацию
Обновить

Комментарии 10

я взял последний стабильный 1.5.7

Стабильный 1.4.4. А 1.5.х это mainline (версия в разработке).
Рейтинг скрыт
да вы правы.
Рейтинг скрыт
Mainline не менее стабильный. А чаще всего более, поскольку содержит больше исправлений.

«Stable» — следует понимать как stable api for 3rd-party developers.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
Незнаю — проверьте отпишитесь :)
Рейтинг скрыт
По разным причинам пришлось отказаться от авторизации auth_basic и файла с паролями, несекурно и все тут

Можно поподробнее, пожалуйста, так как это основная и единственная причина, по которой была проведена работа. Какие конкретно недостатки у nginx auth_basic?
Спасибо!
Рейтинг скрыт
Основная причина в том что он ломается brute force_ом.
Даже если вы раздаете 16-32-100 random char пароли, при генерации хеша используется только первые 8 символов.
То есть при auth_basic можно вводить только первые 8 символов пароля ;) ну и перебирать тоже только 8 символов ;)

Вот мне подсказали доку:
httpd.apache.org/docs/current/misc/password_encryptions.html
Рейтинг скрыт
извините за некропостинг, но вы путаете формат хранения паролей на сервере с механизмом аутентификации

«при auth_basic можно вводить только первые 8 символов пароля» — это неверно.

если использовать стандартный CRYPT в файлах basic auth, то да,
но можно же юзать и SHA512-CRYPT, который не обрезает пароль по восьми символам,
и ломать перебором нереально

при этом оставаясь на http basic auth
Рейтинг скрыт
Уже год используем маленький сервлет на java для проверки аутентификации к выбранным ресурсам в nginx. Используется связка Google-authenticator + LDAP — github.com/evsinev/nginx-auth

Тоже подключается к nginx через internal директиву.
Рейтинг скрыт
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2025, Habr