Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m34l0csrp0.fsf@pm.waw.pl...
Michal Jankowski <michalj@fuw.edu.pl> writes:
No właśnie nie. Przez długie lata o shadow nikomu się nie śniło,
hash
uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
"nielegalność" (niby jaką?), tylko o fakty historyczne.
Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez
długi
czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne
było
specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie
DoD
wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
COCOMem, to pewnie pamiętasz.
To nie są fakty historyczne?
A jednak jakos nieliczne uniksy do nas trafialy.
A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
byly skompilowane ze statyczna funkcja ?
BTW mam także delikatne wrażenie, że wersje BSD eksportowane
oficjalnie
do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale
to
oczywiście nie miało(by) większego znaczenia.
Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
zakazane czy dozwolone.
Tylko uwazano to za niegrozne.
Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow
passwords.
Ale to było 20 lat później.
Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie
żyłem,
a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może
nie
Ale 20 lat pozniej.
https://en.wikipedia.org/wiki/Passwd
Password shadowing first appeared in Unix systems with the development
of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
Reno in 1990.
But, vendors who had performed ports from earlier UNIX releases did
not always include the new password shadowing features in their
releases, leaving users of those systems exposed to password file
attacks.
In 1987 the author of the original Shadow Password Suite, Julie Haugh,
experienced a computer break-in and wrote the initial release of the
Shadow Suite containing the login, passwd and su commands. The
original release, written for the SCO Xenix operating system, quickly
got ported to other platforms.
The Shadow Suite was ported to Linux in 1992 one year after the
original announcement of the Linux project, and was included in many
early distributions, and continues to be included in many current
Linux distributions.
aż tak groźne jak np. dostęp shellowy.
A ponoc unix taki bezpieczny :-)
Zauważ że we wcześniejszych
wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość
pliku
passwd (prawdziwego) - jak również każdego innego pliku
ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w
rodzaju
(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib
/usr
itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.
No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
przeszkadzalo.
J.
|