Re: Übertragung / Enkodierung des LDAP Passworts fehlerhaft?
* Bjoern Hoehrmann wrote: >* Markus Köhl wrote: >>Hier die Ergebnisse für das Passwort E€D$P§äöü123 > > [...] Mit http://www.ietf.org/mail-archive/web/http-auth/current/msg01750.html kann es allerdings auch sein, dass beim Testen was schief gelaufen ist. -- Björn Höhrmann · mailto:bjo...@hoehrmann.de · http://bjoern.hoehrmann.de Am Badedeich 7 · Telefon: +49(0)160/4415681 · http://www.bjoernsworld.de 25899 Dagebüll · PGP Pub. KeyID: 0xA4357E78 · http://www.websitedev.de/ - To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org For additional commands, e-mail: users-de-h...@httpd.apache.org
Re: Übertragung / Enkodierung des LDAP Passworts fehlerhaft?
* Markus Köhl wrote: >Hier die Ergebnisse für das Passwort E€D$P§äöü123 > >TortoiseSVN >Password: "E€D$P§äöü123" >Hex: >"45,FFE2,FF82,FFAC,44,24,50,FFC2,FFA7,FFC3,FFA4,FFC3,FFB6,FFC3,FFBC,31,32,33" Das ist encode('utf-8', $input). >Chrome >Password: "Eâ?¬D$P§äöü123" >Hex: >"45,FFC3,FFA2,FFC2,FF82,FFC2,FFAC,44,24,50,FFC3,FF82,FFC2,FFA7,FFC3,FF83,FFC2,FFA4,FFC3,FF83,FFC2,FFB6,FFC3,FF83,FFC2,FFBC,31,32,33" Das ist encode('utf-8', decode('iso-8859-1', encode('utf-8', $input))). >Internet Explorer >Password: "E?D$P§äöü123" >Hex: >"45,FFC2,FF80,44,24,50,FFC2,FFA7,FFC3,FFA4,FFC3,FFB6,FFC3,FFBC,31,32,33" > >Firefox >Password: "E¬D$P§äöü123" >Hex: >"45,FFC2,FFAC,44,24,50,FFC2,FFA7,FFC3,FFA4,FFC3,FFB6,FFC3,FFBC,31,32,33" encode('utf-8', decode('iso-8859-1', encode('windows-1252', $input))). (Jeweils mit der Annahme, dass ISO-8859-1 U+-U+00FF auf 0x00-0xFF abbildet.) >Die Frage ist nur, ob man überhaupt serverseitig etwas unternehmen >könnte, damit es zumindest in einigen Browsern funktioniert? Eine Möglichkeit wäre, alle Varianten durchzuprobieren. Eine andere wäre ein Apache-Modul oder Script vorzuschalten, was anhand des User-Agent Headers Anfragen so umschreibt, dass die Daten richtig kodiert werden, bevor sie beim Authentifizierungsmodul ankommen. -- Björn Höhrmann · mailto:bjo...@hoehrmann.de · http://bjoern.hoehrmann.de Am Badedeich 7 · Telefon: +49(0)160/4415681 · http://www.bjoernsworld.de 25899 Dagebüll · PGP Pub. KeyID: 0xA4357E78 · http://www.websitedev.de/ - To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org For additional commands, e-mail: users-de-h...@httpd.apache.org
Re: Übertragung / Enkodierung des LDAP Passworts fehlerhaft?
Danke für die schnelle Antwort. Hat sogar schon ein wenig weitergeholfen. Unsere Vermutung mit dem abgeschnittenen Zeichen hat sich in Luft aufgelöst, nachdem wir mal alle möglichen Wege auf die URL zuzugreifen ausprobiert hatten. Manche Dinge sollte man besser vorher testen Konkret geht es bei uns um den Zugriff auf Subversion Repositories über https. Unser "Browser" ist dementsprechend die Clientsoftware von Subversion. Dort funktioniert die Authentifizierung auch. Da wir allerdings für die Repositories WebDav aktiviert haben, werden sie auch zum reinen Lesen im Browser zur Verfügung gestellt. Die Authentifizierung ist dort exakt die gleiche. Genau hier funktioniert die Authentifizierung aber nicht. Getestet haben wir Chrome, Firefox und IE. Ich habe in der Testumgebung mit meinen rudimentären C Kenntnissen das ldap Modul gepatcht, so dass in der Funktion in welcher der LDAP Bind durchgeführt wird, der Inhalt des Passworts als Reintext und als HEX ausgegeben wird. Hier die Ergebnisse für das Passwort E€D$P§äöü123 TortoiseSVN Password: "E€D$P§äöü123" Hex: "45,FFE2,FF82,FFAC,44,24,50,FFC2,FFA7,FFC3,FFA4,FFC3,FFB6,FFC3,FFBC,31,32,33" Chrome Password: "Eâ�¬D$P§äöü123" Hex: "45,FFC3,FFA2,FFC2,FF82,FFC2,FFAC,44,24,50,FFC3,FF82,FFC2,FFA7,FFC3,FF83,FFC2,FFA4,FFC3,FF83,FFC2,FFB6,FFC3,FF83,FFC2,FFBC,31,32,33" Internet Explorer Password: "E�D$P§äöü123" Hex: "45,FFC2,FF80,44,24,50,FFC2,FFA7,FFC3,FFA4,FFC3,FFB6,FFC3,FFBC,31,32,33" Firefox Password: "E¬D$P§äöü123" Hex: "45,FFC2,FFAC,44,24,50,FFC2,FFA7,FFC3,FFA4,FFC3,FFB6,FFC3,FFBC,31,32,33" Die Ergebnisse habe ich nochmal als Datei angehängt. Die Frage ist nur, ob man überhaupt serverseitig etwas unternehmen könnte, damit es zumindest in einigen Browsern funktioniert? - To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org For additional commands, e-mail: users-de-h...@httpd.apache.org
Re: Übertragung / Enkodierung des LDAP Passworts fehlerhaft?
* Markus Köhl wrote: >aktuell nutzen wir den Apache httpd in Version 2.2.26 und dort das >Modul mod_ldap zur Authentifizierung gegenüber einem Windows Active >Directory Server. >Generell funktioniert die Authentifizierung problemlos, Wenn sich >allerdings im Passwort Zeichen aus dem erweiterten UTF-8 Zeichensatz >befinden( z. Bsp. § oder EURO) dann scheitert die Anmeldung. > >Wir vermuten, das für ein einzelnes Zeichen innerhalb des Moduls nicht >genügend Byte zur Verfügung stehen, denn aus dem ursprünglichen § >Zeichen wird bei der Übertragung ein kryptisches Zeichen, was nicht >dem § entspricht. Verwendung von "Unicode" in HTTP Authentication ist nicht standardisiert und funktioniert unterschiedlich zwischen den Browsern. Firefox zum Bei- spiel stellt die Daten in UTF-16 dar, und überträgt dann nur die unteren 8 Bit für jedes Zeichen, wenn ich mich recht erinnere. Andere Browser machen was anderes, so dass je nach Protokoll entweder Browser Sniffing machen kann, oder es ganz vergessen. Die IETF HTTP Auth Working Group ist dabei die Situation zu verbessern, das wird aber noch eine Weile dauern. Eventuell gibt es in der speziellen Situation Workarounds, dafür wäre es sinnvoll zu wissen, welche Browser eingesetzt werden und das kryptische Zeichen (besser noch die genauen Bytes die übertragen werden). -- Björn Höhrmann · mailto:bjo...@hoehrmann.de · http://bjoern.hoehrmann.de Am Badedeich 7 · Telefon: +49(0)160/4415681 · http://www.bjoernsworld.de 25899 Dagebüll · PGP Pub. KeyID: 0xA4357E78 · http://www.websitedev.de/ - To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org For additional commands, e-mail: users-de-h...@httpd.apache.org
Übertragung / Enkodierung des LDAP Passworts fehlerhaft?
Hallo zusammen, aktuell nutzen wir den Apache httpd in Version 2.2.26 und dort das Modul mod_ldap zur Authentifizierung gegenüber einem Windows Active Directory Server. Generell funktioniert die Authentifizierung problemlos, Wenn sich allerdings im Passwort Zeichen aus dem erweiterten UTF-8 Zeichensatz befinden( z. Bsp. § oder EURO) dann scheitert die Anmeldung. Wir vermuten, das für ein einzelnes Zeichen innerhalb des Moduls nicht genügend Byte zur Verfügung stehen, denn aus dem ursprünglichen § Zeichen wird bei der Übertragung ein kryptisches Zeichen, was nicht dem § entspricht. Hat jemand eine Idee, wie man das Problem umschiffen könnte? Sind wir hier auf einen Bug gestoßen? Vielen Dank und freundliche Grüßen Markus Köhl - To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org For additional commands, e-mail: users-de-h...@httpd.apache.org