トップ 差分 一覧 ソース 検索 ヘルプ RSS ログイン

BugTrack-wiki/136

ページの作成や編集にはユーザ登録が必要です。

誤ったパスワード入力してもログインできてしまう

  • 投稿者: おびなた
  • カテゴリ: 本体
  • 優先度: 緊急
  • 状態: リリース済
  • 日時: 2003年10月25日 16時15分50秒

 内容

3.5.1ですが,正規のパスワードの後ろに適当な文字列を追加したものを入力しても正しいパスワードと認識され認証を通ってしまいます.

例えば正規のパスワードが

ABCDEF

としたとき,ログイン時に

ABCDEFGHI

と入力しても認証されていまうのです.

 コメント

  • パスワードはPerlのcrypt関数で暗号化しているのですが、8バイト以降が切り落とされてしまうようです。なので正確には「8バイト以上のパスワードを設定した場合に8バイトまでが合致していればログインできる」ということになります。cryptを使う以上仕様ということになりますが、パスワードが8文字以上入力されるとエラーにするなどの対処は考えられますね。 - たけぞう (2003年10月25日 23時42分50秒)
  • それか、既存のuser.datとの互換性は失われますが、MD5を使うという手も考えられます。8バイト以上のパスワードが必要かどうか?ということになりますが、どうでしょうか。 - たけぞう (2003年10月25日 23時44分33秒)
  • パスワードは8文字以上というのが慣例ですので,対応させたほうがと思います. - おびなた (2003年10月26日 23時27分01秒)
  • 私、無意識のうちに11桁のパスワードを入れていました。で、今やってみたら確かに8文字あっていれば入っちゃいますね。個人的には8文字以上に対応していただきたいのですが、互換性を考えると影響が大きそうですね。他の方のご意見は? - sunoko (2003年10月27日 10時43分21秒)
  • 互換性に関してですが、最近のcrypt関数の多くはMD5が使えるように拡張されており、しかも互換性をもったまま移行ができる設計となっています。fswikiでもsaltの与え方をかえれば対応できるはずです。 - typer (2003年10月27日 23時07分58秒)
  • 3.5.2dev2からMD5を使うようにしました。config/user.datは既存のものとは互換性がなくなっています。 - たけぞう (2003年11月08日 13時21分29秒)
  • 3.5.2でリリースしました。 - たけぞう (2003年12月20日 12時42分07秒)
お名前: コメント:

最終更新時間:2006年08月04日 11時26分28秒