Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: passwd i chfn prez web?

Subject: Re: lug-bg: passwd i chfn prez web?
From: Peter Pentchev <roam@xxxxxxxxxxx>
Date: Mon, 7 Jun 2004 14:26:01 +0300

On Sat, Jun 05, 2004 at 09:06:22PM +0300, Anton Zinoviev wrote:
> На  2.VI.2004 в 19:48 (+0300) часа Peter Pentchev писа:
> >
> > Васил Колев ми подхвърли вчера вечерта, ще ти се стори свястна: на
> > http://devel.ringlet.net/sysutils/passwdif/passwdif.pl има малко
> > скриптченце, което чете от стандартния вход три реда: username, old
> > password, new password, след което проверява дали паролата на акаунта
> > username наистина е old password и ако е, я променя на new password.
> 
> Да, това за съжаление решава проблема.  За съжаление, защото аз бях се
> вече наканил да направя нещо което да бъде уеб-интерфейс към какви да
> е команди (в конкретния случай ми трябва интерфейс и към gpasswd) и то
> така, че да бъде полезно не само за мене -- т.е. аз правя първата
> версия, пък после потребителите на Дебиан да му мислят за
> усъвършенстване и security audit ;-).

Ако ще ти свърши работа - ще се радвам :)

Иначе ми се струва, че общо, всемогъщо, all-singing, all-dancing нещо
за смяна на пароли може и да се окаже не чак толкова добра идея,
най-малкото заради многото мислене, което ще трябва да отиде в посока
сигурност, да не говорим за portability.  Макар че... като се замисля, с
добре дефинирани интерфейси може и да не е чак толкова трудно, но ще
трябва да се хвърли много, ама много мислене за това къде какви
параметри на кого се предават, кой кои символи смята за специални, кой
какви ограничения за дължина на низове има и т.н.  Примерно наскоро
видях един CGI скрипт за смяна на пароли, който беше писан на C, явно
беше писан с идея да се изпълнява като setuid приложение, и имаше много,
ама страшно много места, където с едно просто малко по-голямо низче
(понякога от порядъка на 30-35 символа) можеше да гътнеш програмата.  Не
ми се занимаваше да търся exploitable buffer overflows, но DoS-able
имаше много, и съм почти убеден, че е имало и exploitable :(

Поздрави,
Петър

-- 
Peter Pentchev	roam@xxxxxxxxxxx    roam@xxxxxxxx    roam@xxxxxxxxxxx
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
If this sentence didn't exist, somebody would have invented it.

Attachment: pgplQhbytxrcq.pgp
Description: PGP signature

Относно:
- lug-bg: passwd i chfn prez web?
  - Изпратено от: Anton Zinoviev <anton@xxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Peter Pentchev <roam@xxxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Anton Zinoviev <anton@xxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Peter Pentchev <roam@xxxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Anton Zinoviev <anton@xxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Peter Pentchev <roam@xxxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Anton Zinoviev <anton@xxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Peter Pentchev <roam@xxxxxxxxxxx>
- Re: lug-bg: passwd i chfn prez web?
  - Изпратено от: Anton Zinoviev <anton@xxxxxxxxxx>

Предишно по дата: lug-bg: предоставяне на информация
Следващо по дата: lug-bg: RE: lug-bg: предоставяне на информация
Предишно по тема: Re: lug-bg: passwd i chfn prez web?
Следващо по тема: Re: lug-bg: passwd i chfn prez web?
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG