В начале года столкнулся с проблемой, когда в Passbolt перестали сохраняться пароли.
Passbolt и блокировки HIBP подкинули проблем
То же самое проявилось в NextCloud. Как говорится: "Никогда не было, и вот опять".
При попытке навесить пароль на доступ к файлу в NextCloud постоянно всплывает ошибка:
Пароль находится в списке 1 000 000 наиболее распространённых паролей. Придумайте что-нибудь более оригинальное. Длина пароля должна быть не менее 10 символов В пароле должны присутствовать и прописные и строчные буквы. Пароль должен содержать хотя бы один специальный символ.
И не имеет значения, насколько сложный пароль мы задаём, ошибка остаётся.
Исследование показало, что скрипт проверки пароля в NextCloud использует механизм сервиса "Have I been pwned" (HIBP). Nextcloud при сохранении пароля в обязательном порядке проверяет пароль на утечки. И я не нашёл где это можно отключить. Эй, разработчики! Это же self-hosted решение, оно должно работать и без Интернет!
Проверяю на хосте:
curl -vv https://api.pwnedpasswords.com/range/123cd
Запрос висит. В этом и причина проблем.
Добавляю в hosts:
127.0.0.1 api.pwnedpasswords.com
Теперь запрос сразу отваливается с ошибкой.
Проблема купирована, пароли больше не проверяются на сервисе HIBP и ошибки при сохранении пароля не происходит.
