Hallo zusammen,

hab auf meinen Server (Debian Sarge, Apache 1.3.x) einen Bereich per htaccess eingerichtet, der geschützt ist. Die Passwort-Datei liegt ausserhalb des Webroots und wurde mit dem Apache-Tool htpasswd erstellt.

Das Problem ist, dass das vergebene Passwort über zehn Zeichen lang ist - bei der Passwort-Eingabe aber die ersten acht Zeichen ausreichen, um mich anmelden zu können?!

Woran kann das liegen? Aus der Apache-Doku bin ich nicht wirklich schlau geworden. Oder kann der Apache 1.3.x keine längeren Passwörter?

die crypt funktion unterstützt passwörter nur bis zu 8-Zeichen. Der rest wird abgeschnitten.
Siehe SELFHTML (http://de.selfhtml.org/perl/funktionen/zeichenketten.htm#crypt)
Aus SELFHTML:

Beachten Sie:

crypt kann nur Zeichenketten mit maximal 8 Zeichen Länge verschlüsseln. Sollte die Zeichenkette länger sein, werden nur die ersten 8 Zeichen verschlüsselt.

Ok, danke. Das hatte ich schon vermutet (nur nirgends gefunden).

Hab jetzt bei htpasswd die Option -m (MD5 erzwingen) verwendet und so scheints zu funktionieren mit längeren Passwörtern.

Hat es irgendeinen speziellen Grund, dass MD5 nicht standard ist? Wäre doch eigentlich sicherer?

nennen wir es "Schatten der Vergangenheit" :-)