overeni hesla obycejnym uzivatelem
David Trcka
trcka na poda.cz
Pondělí Leden 11 22:05:13 CET 1999
On Mon, 11 Jan 1999, Pavel Kankovsky wrote:
> > hledam nejakou knihovnu (prip. modul do perlu ;), ktera by mi umoznila
> > zkontrolovat, jestli uzivatel xxx ma heslo yyy. To samo o sobe neni zas
> > takovy problem udelat, jenomze ja potrebuju, aby to mohl spustit jakykoliv
> > uzivatel a pritom se to nedalo zneuzit.
>
> tyto pozadavky si ponekud odporuji, zvlaste v pripade, ze by kontrola,
> jestli uzivatel xxx ma heslo yyy mela byt umoznena i uzivateli zzz, kde
> zzz != xxx & zzz != root.
>
No to prave je. Abych upresnil, delam cgi-cko pro zmenu hesla pro mail
(uzivatele maji pristup pouze na pop3), cili zzz=nobody a xxx je kdokoliv
jiny. Bohuzel nobody mi neprecte /etc/shadow, jinak by to pres crypt() byla
brnkacka.
Klidne by to mohlo fungovat tak, ze pri neuspesnem pokusu by se prodluzovala
doba odezvy nebo tak neco (nebo spis neprodluzovala, ale byla dost dlouha na to,
aby to kazdeho odradilo).
> prinejmensim to musi byt schopno cist /etc/shadow (dneska uz snad nikdo
> neprovozuje system bez shadow passwords, nebo snad ano?!)
>
Snad ani ne! :)
> > Vysledny efekt by mel byt nejaky program, ktery by se dal pouzit treba jako
> > if pwd_is_ok $user $pass; then ...
>
> to neni dobry napad, protoze parametry jsou videt pres /proc
>
To byl fakt blby napad, ale daval jsem to jenom jako priklad.
Spis jsem myslel nejakou funkci v nejakem rozumnem prog. jazyce.
David Trcka, PODA s.r.o., Havirov
network administrator/spravce site
ICQ#: 24079192
Další informace o konferenci Linux