apache-mod_auth_pam

[Michal Moskal]

On Mon, Jun 25, 2001 at 05:59:29PM +0200, Sebastian Zagrodzki wrote:
> Checkpasswd jest mała, suidowana binarka, która wczytuje na deskryptorze 3
> username i hasło, i ustawia kod wyjścia w zależności od tego czy hasło
> jest poprawne czy nie (ten interfejs jest opisany w doumentacji w
> qmailu).

Czy takiej binarki nie mozna uzyc do masowego krakowania hasel?
To znaczy nawet, jesli ona czeka, powiedzmy kilka sekund przy
negatywnej odpowiedzi, to mozna takich binarek sto na raz zapuscic,
i skrocic sobie w ten sposob oczekiwanie. Z drugiej strony blokowanie
dostepu do niej, po ilus tam nieudanych probach tez nie jest
najlepsze, bo sie moze httpd zatkac, jesli ktos po drugiej stronie
podaje upoczywie bledne hasla... Mozna by ograniczyc korzystanie
z niej do jakiejs grupy (to chyba wiecej niz wskazane...),
ale wtedy mozna by chyba napisac taki passwd kraker jako cgi...


-- 
: Michal ``,/\/\,       '' Moskal    | |            : GCS {C,UL}++++$
:          |    |alekith      @    |)|(| . org . pl : {E--, W, w-,M}-
:                                  |                : {b,e>+}++ !tv h
: Current project:  http://aleph-0.dhs.org/ywindow/ : PLD Team member