[fli4l] Passwort-Merkw?==?utf-8?Q?ürdigkeiten (was: Neues sta?==?utf-8?Q?ble Release fli4l 3.10.3 (Bug?==?utf-8?Q?????))

Stefan Sauer mein-fli4l-postfach at freenet.de
Mi Jul 29 18:23:15 CEST 2015


Zitat: Christoph Schulz schrieb am Mi, 29 Juli 2015 17:25
----------------------------------------------------
> > Ich halte das für keine gute Idee, da man so erfragen kann,
> > welche
> > Länge das gewählte Kennwort hat.
> 
> Das ist nur zum Teil richtig.
> 
> Das Problem hängt zum einen mit dem Programm "mini-login" zusammen,
> das seit Ewigkeiten bei fli4l Verwendung findet. Dieses Programm liest
> maximal 14 Zeichen (via fgets()) ein. Mehr Zeichen werden ignoriert;
> auch ein RETURN ist dann nicht mehr nötig. Dein Passwort war
> vermutlich mindestens 14 Zeichen lang.

Es ist 15 Zeichen lang.  :d  (das erste Passwort)

> 
> Das andere Problem wird bereits unter FFL-828 geführt: Der fli4l
> verwendet die Standard-crypt-Verschlüsselung. Diese verarbeitet nur
> maximal die ersten acht Zeichen. Aus der man-Page von crypt:
> 
> > In the MD5 and SHA implementations the  entire  key  is
> > significant (instead of only the first 8 bytes in DES).
> 
> Warum du der Meinung bist, dass die Shell bei einem fehlerhaften
> Passwort bereits nach der Kennwortlänge reagiert, kann ich nicht
> sagen. Ich vermute, dass die Shell immer nach dem vierzehnten Zeichen
> "reagiert" hat (positiv oder negativ).

Deine Vermutung ist wohl richtig.


> Du darfst für dieses Problem gerne dafür ein Ticket aufmachen.
> (Ich würde es begrüßen ;-)
> 
> > 
> > Weiter habe ich feststellen können, dass mit einem anderen von
> > mir
> > gewählten Kennwort, welches mit einem @ endet nur n-1 Zeichen
> > notwendig sind,
> > um sich anzumelden.
> 

Passwort ist 15stellig - daher siehe oben. 


> Das wusste ich noch nicht. Ich vermute, dein Passwort ist hier exakt
> neun Zeichen lang gewesen. Falls nicht, sollte dies auch in das obige
> noch zu erstellende Ticket.
> 
> > Per SSH benötigt man jedoch das Passwort in seiner gesamten
> > Länge, also mit @-Zeichen
> > am Ende.
> 
> Das kann ich nicht bestätigen. Ich benötige immer nur maximal die
> ersten acht Zeichen des Passworts, auch via SSH. Kein Wunder, denn der
> SSH-Dämon (dropbear) authentifiziert den Client auch via crypt().

Das werd ich noch mal testen.
----------------------------------------------------

Gruss,
gandalf


Mehr Informationen über die Mailingliste Fli4L