Allagi password apo web (poppassd & ldap)

[Giorgos Keramidas]

On 2007-09-29 20:22, V13 <v13 at priest.com> wrote:
>On Saturday 29 September 2007, Giorgos Keramidas wrote:
>> Δε μου αρέσει να έχει η PHP απευθείας πρόσβαση στην ίδια την expect
>> την ώρα που αλλάζει το password,
>
> why not?

Γιατί θα πρέπει η php να έχει πρόσβαση σε κάποιου είδους 'credentials'
τα οποία της δίνουν αρκετά δικαιώματα να τρέξει το passwd(1) utility
είτε ως 'root', είτε ως οποιοσδήποτε χρήστης.  Και τα δύο είναι λίγο
ανησυχητικά.

Ενώ αν η php το μόνο που κάνει είναι να στέλνει 'password change
requests' σε κάποιο πολύ μικρότερο process, ίσως είναι πιο εύκολονα
γίνει 'audit' ο κώδικας του 'password server' για πιθανές αστοχίες.

Τότε η php το πολύ-πολύ να "φάει πόρτα" ή να "σκάσει" πριν διαβάσει το
αποτέλεσμα ενός password change request.  Big deal, ας πρόσεχε :)