.htpasswd

.htpasswd é un modelo de táboa usado para almacenar nomes de usuarios e contrasinais para unha autenticación de acceso básica nun servidor HTTP Apache. O nome do arquivo dáse na configuración de .htaccess, e pode ser calquera aínda que ".htpasswd" é o nome canónico. O nome do arquivo comeza cun punto, porque a maioría dos sistemas operativos tipo Unix-like consideran que calquera arquivo que comeza co punto ocúltase. Este arquivo mantense a miúdo coa consola de comandos "htpasswd" que pode agregar, eliminar e actualizar os usuarios, e codificará adecuadamente o contrasinal para o seu uso^[1] (de maneira que é fácil comprobalo, pero non devolve ao contrasinal orixinal).

Estrutura[editar | editar a fonte]

O arquivo consta de filas, cada fila corresponde a un nome de usuario, seguido de dous puntos, seguido dunha cadea que contén o contrasinal con algoritmo hash opcionalmente anteposto por un especificador de algoritmos e/ou salt. O hash utilizado historicamente é "Unix crypt" que usa estilos con alternativas como MD5 que é predeterminada.^[1]

Os recursos desde o servidor HTTP de Apache pódese limitar unicamente aos usuarios listados no arquivo .htpasswd. O arquivo tamén podes ser utilizado para protexer todo o directorio que se coloca nel, así como os arquivos particulares.^[2]

Consideracións de seguridade[editar | editar a fonte]

Os arquivos de contrasinais tales como os xestionados por htpasswd non deben estar no espazo de nomes URI do servidor web, é dicir, que poida ser enlazado desde un navegador. O uso da opción -b, xa que cando é usado aparece o contrasinal sen cifrar na liña de comandos.

Cando se usa o algoritmo crypt(), tense en conta que unicamente o primeiros oito caracteres do contrasinal úsanse para formar o contrasinal, se o contrasinal fornecido é máis longa, os caracteres adicionais serán descartados silenciosamente.^[2]

Notas[editar | editar a fonte]