Re: Re: bug: "\002" password means any password

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Wed 23 Mar 2005 - 02:35:10 MSK

1) Вы захотели пароль типа Unix Crypt
2) Вы ЗНАЕТЕ, что пустой пароль типа Unix Crypt "подходит" к любой строке
3) Вы поставили - ЯВНО - пустой пароль типа Unix Crypt

Какой реакции системы Вы ожидаете?

Более того, тот факт, что "пустой" Unix Crypt совпадает с любым паролём - довольно часто используется при создании "открытых" accounts - не только и не столько в CGatePro, но во многих других системах.

С точки зрения "секурности" этот пароль так же "плох" как и пароль "test".

Резюме: это таки не bug, а feature, причем та, которая используется. У Вас есть все возможности эту feature не использовать.

On Wed, 23 Mar 2005 01:56:05 +0300
  "Anton Golubev" <CGatePro@mx.ru> wrote:
> Привет,
>
>> А почему бы и нет? Если Вы сами явно не хотите, чтобы пароль был, то
> зачем
>> что-то проверять?
>
> Безответственный подход к программированию. Вас так послушать, и
> переполнение стека не ошибка. Зачем, понимаешь, программе глупости
> всякие давать?
>
>> А откуда он там появится неправильно сформированный? В самом CGPro
> нельзя
>> сделать пароль пустым.
>
> Не путем ручного редактирования файлов, если это подозреваете. Через CLI
> от бажной программы.
>
>
>> crypt() совсем не те параметры берёт.
>
> Я знаю, какие параметры у crypt(), верите? Вот так должно быть ясней:
> Условие strcmp($stored_hash, crypt($clear_text, $stored_hash))
>
>
>> Отчего же так слабо? Надо матом их всех покрыть и подать в суд,
>> за нанесённый моральный ущерб. Ко всем остальным производителям софта,
>> включая M$, Oracle, ... , надеюсь, Вы в такой же циничной форме
> претензии
>> предъявляете?
>
> Надеюсь, в целом общественность восприняло мое сообщение не по форме, а
> по содержанию.
>
>
> С уважением,
> Антон
>
>
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
>

Sincerely,
Vladimir Получено Tue Mar 22 23:35:09 2005

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:13:35 MSK