Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m3tv8aaqn8.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w
passwd.
Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?
No tak od 1970 to 1990.
No dobra - nie znam na tyle historii Unixa, to nie wiem kiedy wybrali
DES do hasel,
moze to byl np 1975, moze w 1985 zaczelo pierwszemu przeszkadzac - jak
cytowalismy - jeszcze w 1990 wiele systemow nie mialo shadow.
Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd.
Tylko
zalogowani userzy shellowi.
Czy nie Ty pisales, ze anonimowi ftp tez ?
To przeszkadzało (być może) mniej, niż
lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało -
stąd
powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów,
by
nie mogli ustawiać trywialnych),
A reszta nadal uwazana za bezpieczne :-)
Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
bardzo wiele luk w unixach - i to wszystkich,
Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
było wtedy nieco głośnych przypadków (największe chyba w sendmailu).
Pare metod bylo dosc uniwersalnych - np przepelnienie zmiennej na
stosie.
Tylko nie kazdy system pozwalal wykonywac program ze stosu.
Zreszta skoro kazdy moze zostac rootem, to co to za
bezpieczenstwo -
shadow tez moze odczytac :-)
Sam widzisz.
Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy
glowy w piasek ? :-)
J.
|