Allagi password apo web (poppassd & ldap)

V13 v13 at priest.com
Sun Sep 30 17:59:55 EEST 2007


On Sunday 30 September 2007, Giorgos Keramidas wrote:
> On 2007-09-29 20:22, V13 <v13 at priest.com> wrote:
> >On Saturday 29 September 2007, Giorgos Keramidas wrote:
> >> Δε μου αρέσει να έχει η PHP απευθείας πρόσβαση στην ίδια την expect
> >> την ώρα που αλλάζει το password,
> >
> > why not?
>
> Γιατί θα πρέπει η php να έχει πρόσβαση σε κάποιου είδους 'credentials'
> τα οποία της δίνουν αρκετά δικαιώματα να τρέξει το passwd(1) utility
> είτε ως 'root', είτε ως οποιοσδήποτε χρήστης.  Και τα δύο είναι λίγο
> ανησυχητικά.
>
> Ενώ αν η php το μόνο που κάνει είναι να στέλνει 'password change
> requests' σε κάποιο πολύ μικρότερο process, ίσως είναι πιο εύκολονα
> γίνει 'audit' ο κώδικας του 'password server' για πιθανές αστοχίες.

Nope.. Ksanakoitakse ti trexei:

su - $username -c /usr/bin/passwd

  Efoson exeis to username kai to password enos xristi, tote h php mporei na 
treksei to parapano os opoiosdipote xristis (www-data?). Ayto kanei su sto 
xristi kai sth synexeia trexei thn passwd. Apla h expect dinei dyo fores to 
palio password (mia gia to su kai mia gia thn passwd). Den xreiazetai kanena 
parapano diakaioma apo ayta poy exei enas topikos xristis.

<<V13>>




More information about the Linux-greek-users mailing list