[Gnuheter-dev] lösenordsbuggen

gnuheter-dev

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Gnuheter-dev] lösenordsbuggen

From:	Patrik Wallstrom
Subject:	[Gnuheter-dev] lösenordsbuggen
Date:	Thu, 20 Jun 2002 18:12:45 +0200
User-agent:	Mutt/1.4i

Nytt i user.php:

if (!$system)
    $cpass = crypt($pass,substr($dbpass,0,2));
if (strcmp($dbpass,$cpass))
    $cpass = crypt($pass,substr($dbpass,0,12));

if (strcmp($dbpass,$cpass)) {
    Header("Location: user.php?stop=1");
    return;
}

Notera användandet av $cpass istället för $pass på de nya
ställena. Finns även en för kakan lite längre ner i koden.

Detta innebär att (nya) användare som fått md5-krypterade lösenord i
databasen också autentiseras korrekt, i och med att de får rätt salt
till crypt().

Jag commitar inte koden i CVS ännu, jag ska låta den provas en liten
stund på Gnuheter.

-- 
patrik_wallstrom->foodfight->address@hidden>+46-709580442

[Prev in Thread]

Current Thread

[Next in Thread]

[Gnuheter-dev] lösenordsbuggen, Patrik Wallstrom <=

Prev by Date: Re: [Gnuheter-dev] isRealUser
Next by Date: [Gnuheter-dev] Statistik.
Previous by thread: [Gnuheter-dev] isRealUser
Next by thread: [Gnuheter-dev] Statistik.
Index(es):
- Date
- Thread