Re: lug-bg: passwd i chfn prez web?
- Subject: Re: lug-bg: passwd i chfn prez web?
- From: Peter Pentchev <roam@xxxxxxxxxxx>
- Date: Mon, 7 Jun 2004 14:26:01 +0300
On Sat, Jun 05, 2004 at 09:06:22PM +0300, Anton Zinoviev wrote:
> На 2.VI.2004 в 19:48 (+0300) часа Peter Pentchev писа:
> >
> > Васил Колев ми подхвърли вчера вечерта, ще ти се стори свястна: на
> > http://devel.ringlet.net/sysutils/passwdif/passwdif.pl има малко
> > скриптченце, което чете от стандартния вход три реда: username, old
> > password, new password, след което проверява дали паролата на акаунта
> > username наистина е old password и ако е, я променя на new password.
>
> Да, това за съжаление решава проблема. За съжаление, защото аз бях се
> вече наканил да направя нещо което да бъде уеб-интерфейс към какви да
> е команди (в конкретния случай ми трябва интерфейс и към gpasswd) и то
> така, че да бъде полезно не само за мене -- т.е. аз правя първата
> версия, пък после потребителите на Дебиан да му мислят за
> усъвършенстване и security audit ;-).
Ако ще ти свърши работа - ще се радвам :)
Иначе ми се струва, че общо, всемогъщо, all-singing, all-dancing нещо
за смяна на пароли може и да се окаже не чак толкова добра идея,
най-малкото заради многото мислене, което ще трябва да отиде в посока
сигурност, да не говорим за portability. Макар че... като се замисля, с
добре дефинирани интерфейси може и да не е чак толкова трудно, но ще
трябва да се хвърли много, ама много мислене за това къде какви
параметри на кого се предават, кой кои символи смята за специални, кой
какви ограничения за дължина на низове има и т.н. Примерно наскоро
видях един CGI скрипт за смяна на пароли, който беше писан на C, явно
беше писан с идея да се изпълнява като setuid приложение, и имаше много,
ама страшно много места, където с едно просто малко по-голямо низче
(понякога от порядъка на 30-35 символа) можеше да гътнеш програмата. Не
ми се занимаваше да търся exploitable buffer overflows, но DoS-able
имаше много, и съм почти убеден, че е имало и exploitable :(
Поздрави,
Петър
--
Peter Pentchev roam@xxxxxxxxxxx roam@xxxxxxxx roam@xxxxxxxxxxx
PGP key: http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553
If this sentence didn't exist, somebody would have invented it.
Attachment:
pgplQhbytxrcq.pgp
Description: PGP signature
|