Bug 1209

Summary: htpasswd doesn't support brcypt
Product: Sisyphus Reporter: Dmitry V. Levin <ldv>
Component: apache2Assignee: Anton Farygin <rider>
Status: CLOSED WORKSFORME QA Contact: Mikhail Gusarov <dottedmag>
Severity: enhancement    
Priority: P4 CC: ab, pilot, rider
Version: unstable   
Hardware: all   
OS: Linux   

Description Dmitry V. Levin 2002-08-20 11:11:19 MSD
htpasswd doesn\'t use crypt_gensalt(3), so it doesn\'t support bcrypt (OpenBSD-style Blowfish-based crypt).
---

---

Comment 1 Michael Shigorin 2003-08-30 23:43:47 MSD
ab@ asked to take over the package.  
While I'm definitely not the best maintainer, hope that in three we'll cope with it.
Comment 2 Michael Shigorin 2003-08-31 00:46:52 MSD
how to enable it?
Comment 3 Dmitry V. Levin 2003-09-06 23:20:41 MSD
There are no way to "enable" it. 
It have to be implemented, for example, as additional option, using 
crypt_gensalt(3). 
See tcb-0.9.8.5/pam_tcb/support.c for details. 
Comment 4 Michael Shigorin 2003-09-08 11:05:59 MSD
It was a hint that I'm maintainer of the package but in no way its developer,
particularly in security-relevant areas.  If somebody needs that and knows how
to implement it properly, then better it gets done that way in a longer
timeframe than by non-motivated person who has long forgotten even basic C
programming.
Comment 5 Michael Shigorin 2003-11-02 23:52:45 MSK
...and it should be packaged separately. (notice: Igor Homyakov <homyakov@>,
ACK: Alexander Bokovoy <ab@>)
Comment 6 Michael Shigorin 2005-08-24 20:31:39 MSD
это кому-то ещё надо?
Comment 7 Mikhail Gusarov 2008-02-15 22:42:14 MSK
re
Comment 8 Mikhail Gusarov 2008-02-15 22:42:58 MSK
Видать, уже никому не надо.
Comment 9 Dmitry V. Levin 2008-02-15 23:51:24 MSK
(In reply to comment #8)
> Видать, уже никому не надо.

А жаль: без этого htpasswd не представляет интереса.
Comment 10 Mikhail Gusarov 2008-02-15 23:52:24 MSK
Ну раз нужен - пусть повисит :)
Comment 11 Michael Shigorin 2008-02-16 01:26:52 MSK
(In reply to comment #9)
> > Видать, уже никому не надо.
> А жаль: без этого htpasswd не представляет интереса.
Прошу представить интерес патчиком -- с радостью приложу и постараюсь просунуть
в апстрим.
Comment 12 Dmitry V. Levin 2008-02-16 01:33:34 MSK
(In reply to comment #11)
> (In reply to comment #9)
> > > Видать, уже никому не надо.
> > А жаль: без этого htpasswd не представляет интереса.
> Прошу представить интерес патчиком -- с радостью приложу и постараюсь просунуть
> в апстрим.

А где нынче живет апстрим у htpasswd?  Может быть у apache2?
Comment 13 Michael Shigorin 2008-02-16 01:35:48 MSK
Ну мож и так...
Comment 14 solo 2008-02-16 01:58:34 MSK
Как простым образом проверить наличие/отсутствие данного функционала?
Comment 15 Dmitry V. Levin 2008-02-16 02:00:27 MSK
(In reply to comment #14)
> Как простым образом проверить наличие/отсутствие данного функционала?

Сгенерить hash с помощью htpasswd2
Comment 16 solo 2008-02-16 02:08:45 MSK
(In reply to comment #15)
> (In reply to comment #14)
> > Как простым образом проверить наличие/отсутствие данного функционала?
> 
> Сгенерить hash с помощью htpasswd2

  Какой именно? На данный момент есть ключи для генерации MD5, SHA и CRYPT.
Возможность задать доп. параметры для CRYPT (в том числе -- выбрать конкретный
алгоритм) отсутствует... Проблема в этом?
Comment 17 solo 2013-02-27 03:14:29 MSK
Функционал появился в apache-2.4 (см. http://www.apache.org/dist/httpd/CHANGES_2.4)
Comment 18 Michael Shigorin 2013-02-27 14:33:39 MSK
Недавно посмотрел на то, какие 2.x сейчас по дистрибутивам -- IIRC в нынешних релизах в основном 2.2, а 2.4 разве что в федоре.
Comment 19 Anton Farygin 2018-10-05 07:57:38 MSK
Вижу в changelog:
  *) htpasswd, htdbm: Add support for bcrypt algorithm (requires
     apr-util 1.5 or higher). PR 49288. [Stefan Fritsch]