.htpasswd

.htpasswd は、Apache HTTP サーバーでの基本認証用のユーザー名とパスワードを保存するために使用されるフラット ファイルです。ファイルの名前は.htaccess設定で指定され、任意の名前を付けることができますが、「.htpasswd」が正規の名前です。ほとんどのUnix 系オペレーティング システムでは、ドットで始まるファイルはすべて非表示であると見なされるため、ファイル名はドットで始まります。 [1]このコマンドは、.htpasswd ファイルのエントリを管理するために使用されます。[2]htpasswd

歴史

htpasswd は、 Apache の前身であるNCSA HTTPd サーバー[3]に最初に追加されました。 [4]ハッシュは歴史的に、一般的な代替手段としてMD5またはSHA1を使用した「UNIX crypt」スタイルを使用していました。[5] Apache 2.4 では、bcrypt アルゴリズムが追加されました。[6]

使用法

ファイルは行で構成されており、各行にはユーザー名が含まれ、その後にコロンが続き、その後にオプションでアルゴリズム指定子 (「$2y$」、「$apr1$」、または「{SHA}」) が先頭に付加されたハッシュ化されたパスワードを含む文字列が続きます。 )および/または塩。[6] [7]

アセルスタン:RLjXiyxx56D9s
ママ:RLMzFazUFPVRE
パパ:RL8wKTlBoVLKk

Apache HTTP サーバーから利用できるリソースは、htpasswd によって作成されたファイルにリストされているユーザーのみに制限できます。 .htpasswd ファイルは、特定のファイルだけでなく、それが配置されているディレクトリ全体を保護するために使用できます。[8]

セキュリティ上の問題

htpasswd で受け入れられ、今日の標準で安全であると考えられている唯一のアルゴリズムは bcrypt [9]であり、多くの形式ではソルティングが使用されていないため、辞書攻撃に対して脆弱です。 crypt() アルゴリズムは、指定されたパスワードの最初の 8 文字のみを使用し、それ以降の文字は破棄します。[5]

こちらも参照

参考文献

  1. ^ "ホーム ディレクトリの隠しファイルとフォルダーについて – TecAdmin". 2023-05-15 2024 年 2 月 8 日に取得
  2. ^ デビッド、ジャクソン (2023 年 7 月 30 日)。 「Linux の Htpasswd コマンドをマスターする」。Linux TLDR
  3. ^ "NCSA httpd AuthUserFile". www6.uniovi.es 2024 年 2 月 8 日に取得
  4. ^ "Apache HTTP サーバー プロジェクトについて - Apache HTTP サーバー プロジェクト". httpd.apache.org 2024 年 2 月 8 日に取得
  5. ^ ab "htpasswd - 基本認証用のユーザー ファイルを管理する" . 2013 年 11 月 30 日に取得
  6. ^ ab 「パスワード形式 - Apache HTTP サーバー バージョン 2.4」。アパッチ2024 年 2 月 8 日に取得
  7. ^ "HTTP 認証 - HTTP | MDN".開発者.mozilla.org。 2023-12-20 2024 年 2 月 8 日に取得
  8. ^ サービス、Chameleon Web (2014-03-24)。 「.htaccess を使用したファイルまたはフォルダーのパスワード保護 | Chameleon Web Services ®」2024 年 2 月 8 日に取得
  9. ^ "htpasswd ファイル ジェネレーター".アスピリン.org 2024 年 2 月 8 日に取得

外部リンク

  • Apache: htpasswd - 基本認証用のユーザー ファイルを管理する


「https://en.wikipedia.org/w/index.php?title=.htpasswd&oldid=1204893172」から取得