[fli4l] Passwort-Merkwürd?==?utf-8?Q?igkeiten (was: Neues stable ?==?utf-8?Q?Release fli4l 3.10.3 (Bug????==?utf-8?Q??))

Christoph Schulz fli4l at kristov.de
Mi Jul 29 17:25:45 CEST 2015


Hallo!

> Hallo,
> 
> als ich mich nach der Installation an der physikalischen Konsole
> anmelden wollte, benötigte ich nach der Eingabe des Kennwortes
> NICHT DIE ENTER-TASTE. Ich wurde bei der Eingabe des richtigen
> Kennwortes angemeldet, ohne die Enter-Taste zu drücken.
> 
> Gebe ich ein falsches Kennwort ein, wird die ENTER-Taste ebenfalls
> automatisch betätigt, sobald die Kennwortlänge erreicht ist.
> 
> Ich halte das für keine gute Idee, da man so erfragen kann, welche
> Länge das gewählte Kennwort hat.

Das ist nur zum Teil richtig.

Das Problem hängt zum einen mit dem Programm "mini-login" zusammen, das
seit Ewigkeiten bei fli4l Verwendung findet. Dieses Programm liest
maximal 14 Zeichen (via fgets()) ein. Mehr Zeichen werden ignoriert;
auch ein RETURN ist dann nicht mehr nötig. Dein Passwort war vermutlich
mindestens 14 Zeichen lang.

Das andere Problem wird bereits unter FFL-828 geführt: Der fli4l
verwendet die Standard-crypt-Verschlüsselung. Diese verarbeitet nur
maximal die ersten acht Zeichen. Aus der man-Page von crypt:

> In the MD5 and SHA implementations the  entire  key  is
> significant (instead of only the first 8 bytes in DES).

Warum du der Meinung bist, dass die Shell bei einem fehlerhaften
Passwort bereits nach der Kennwortlänge reagiert, kann ich nicht sagen.
Ich vermute, dass die Shell immer nach dem vierzehnten Zeichen
"reagiert" hat (positiv oder negativ).

Du darfst für dieses Problem gerne dafür ein Ticket aufmachen. (Ich
würde es begrüßen ;-)

> 
> Weiter habe ich feststellen können, dass mit einem anderen von mir
> gewählten Kennwort, welches mit einem @ endet nur n-1 Zeichen
> notwendig sind,
> um sich anzumelden.
> 

Das wusste ich noch nicht. Ich vermute, dein Passwort ist hier exakt
neun Zeichen lang gewesen. Falls nicht, sollte dies auch in das obige
noch zu erstellende Ticket.

> Per SSH benötigt man jedoch das Passwort in seiner gesamten Länge,
> also mit @-Zeichen
> am Ende.

Das kann ich nicht bestätigen. Ich benötige immer nur maximal die
ersten acht Zeichen des Passworts, auch via SSH. Kein Wunder, denn der
SSH-Dämon (dropbear) authentifiziert den Client auch via crypt().


Viele Grüße,

Christoph Schulz

-- 
Christoph Schulz
[fli4l-Team]


Mehr Informationen über die Mailingliste Fli4L