[ LUGOS ] adduser - pop3

Metod Kozelj metod.kozelj na rzs-hm.si
Pet Jan 15 07:39:54 CET 1999


Howdy!

On Thu, 14 Jan 1999, Tomaz Izanc wrote:

> ok. to sevedda deluje in je enostavno  ..
> kaj pa je kdo kaj pocel z ksnimi html skriptami .. za spremembo passwd in se
> kaj  ?

Spreminanje passwd preko HTML je pa malo nevarno. Gre za naslednje:

geslo nekega uporabnika lahko spremeni bodisi uporabnik sam ali pa root.
Glede na to, da http serverje vecinoma gonimo pod kaksnim uporabnikom, ki
nima nobenih pravic (recimo nobody; varnostni razlogi), tak pa se ne more
logirati kot pravi uporabnik, bi bila edina preostala opcija goniti
konkretno cgi-skripto suid root. Takih stvari pa se ne pocne.
Tudi sicer bi bila skripta kar kompleksna (v bistvu bi moral biti C-jevski
program). Morala bi preveriti staro geslo (da ga ne more zamenjati kar
nekdo) ce je pravilno (root lahko zamenja geslo, ne da bi poznal starega).
Ker stvari preko http protokola tipicno potujejo ne kodirane, se s tem
izpostavi geslo na ogled ...
No, kar se tice kodiranja je stvar resljiva s postavitvijo secure http
streznika, vprasanje pa je, ali se ti ga bo dalo postavljati samo za to.

Peace!
  Mkx

---- perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'




Dodatne informacije o seznamu Starilist