Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: passwd i chfn prez web?


  • Subject: Re: lug-bg: passwd i chfn prez web?
  • From: Peter Pentchev <roam@xxxxxxxxxxx>
  • Date: Mon, 7 Jun 2004 14:26:01 +0300

On Sat, Jun 05, 2004 at 09:06:22PM +0300, Anton Zinoviev wrote:
> На  2.VI.2004 в 19:48 (+0300) часа Peter Pentchev писа:
> >
> > Васил Колев ми подхвърли вчера вечерта, ще ти се стори свястна: на
> > http://devel.ringlet.net/sysutils/passwdif/passwdif.pl има малко
> > скриптченце, което чете от стандартния вход три реда: username, old
> > password, new password, след което проверява дали паролата на акаунта
> > username наистина е old password и ако е, я променя на new password.
> 
> Да, това за съжаление решава проблема.  За съжаление, защото аз бях се
> вече наканил да направя нещо което да бъде уеб-интерфейс към какви да
> е команди (в конкретния случай ми трябва интерфейс и към gpasswd) и то
> така, че да бъде полезно не само за мене -- т.е. аз правя първата
> версия, пък после потребителите на Дебиан да му мислят за
> усъвършенстване и security audit ;-).

Ако ще ти свърши работа - ще се радвам :)

Иначе ми се струва, че общо, всемогъщо, all-singing, all-dancing нещо
за смяна на пароли може и да се окаже не чак толкова добра идея,
най-малкото заради многото мислене, което ще трябва да отиде в посока
сигурност, да не говорим за portability.  Макар че... като се замисля, с
добре дефинирани интерфейси може и да не е чак толкова трудно, но ще
трябва да се хвърли много, ама много мислене за това къде какви
параметри на кого се предават, кой кои символи смята за специални, кой
какви ограничения за дължина на низове има и т.н.  Примерно наскоро
видях един CGI скрипт за смяна на пароли, който беше писан на C, явно
беше писан с идея да се изпълнява като setuid приложение, и имаше много,
ама страшно много места, където с едно просто малко по-голямо низче
(понякога от порядъка на 30-35 символа) можеше да гътнеш програмата.  Не
ми се занимаваше да търся exploitable buffer overflows, но DoS-able
имаше много, и съм почти убеден, че е имало и exploitable :(

Поздрави,
Петър

-- 
Peter Pentchev	roam@xxxxxxxxxxx    roam@xxxxxxxx    roam@xxxxxxxxxxx
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
If this sentence didn't exist, somebody would have invented it.

Attachment: pgplQhbytxrcq.pgp
Description: PGP signature



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.