[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Gnuheter-dev] lösenordsbuggen
From: |
Patrik Wallstrom |
Subject: |
[Gnuheter-dev] lösenordsbuggen |
Date: |
Thu, 20 Jun 2002 18:12:45 +0200 |
User-agent: |
Mutt/1.4i |
Nytt i user.php:
if (!$system)
$cpass = crypt($pass,substr($dbpass,0,2));
if (strcmp($dbpass,$cpass))
$cpass = crypt($pass,substr($dbpass,0,12));
if (strcmp($dbpass,$cpass)) {
Header("Location: user.php?stop=1");
return;
}
Notera användandet av $cpass istället för $pass på de nya
ställena. Finns även en för kakan lite längre ner i koden.
Detta innebär att (nya) användare som fått md5-krypterade lösenord i
databasen också autentiseras korrekt, i och med att de får rätt salt
till crypt().
Jag commitar inte koden i CVS ännu, jag ska låta den provas en liten
stund på Gnuheter.
--
patrik_wallstrom->foodfight->address@hidden>+46-709580442
[Prev in Thread] |
Current Thread |
[Next in Thread] |
- [Gnuheter-dev] lösenordsbuggen,
Patrik Wallstrom <=