1 Тема от hooch

  • hooch
  • Участник
  • Неактивен

    Тема: Вход в админку по первым 8 символам в пароле..

    (Не пойму насколько правильно назвал тему проблемы, если кто поправит, я исправлю)

    Проблема такая, у меня есть пароль, длиною скажем 15 символов, но заметил одну странность - если я пишу правильный логин и потом пишу только первые 8 символов своего пароля, то я всё равно попадаю в админку.. проверял просто хаотично набранный 8-ми значный пароль - не пускает, как только первые 8 символов существующего пароля - пускает в админку.

    Возможно опять что-то с правами на файлы и папки.. хотя на все cgi - 755 стоит..

    Благодарю за внимание ))

    2 Ответ от marlik

    • marlik
    • marlik
    • Участник
    • Неактивен

      Re: Вход в админку по первым 8 символам в пароле..

      Причем тут права доступа? А по 15 символам введенного пароля пускает?

      3 Ответ от hooch

      • hooch
      • Участник
      • Неактивен

        Re: Вход в админку по первым 8 символам в пароле..

        Просто предположил..

        От 8-ми и более пускает, если в конце пароля добавить еще пару символов, то тоже пускает ))

        4 Ответ от marlik

        • marlik
        • marlik
        • Участник
        • Неактивен

          Re: Вход в админку по первым 8 символам в пароле..

          Какой смысл делать пароль таким большим? Восьми символов будет достаточно, просто перемешайте с цифрами и разный регистр. От хулиганов поможет. А от серьезных людей нет, так как пароль по интернету передается открытым текстом. Вот-бы в админку вход по https они-бы сделали, это было-бы здорово.

          5 Ответ от hooch

          • hooch
          • Участник
          • Неактивен

            Re: Вход в админку по первым 8 символам в пароле..

            Да дело тут вовсе не в сложности пароля, я привёл условную длину - ну допустим у меня 9 символов.

            6 Ответ от saahov

            • saahov
            • saahov
            • Administrator
            • Неактивен

              Re: Вход в админку по первым 8 символам в пароле..

              Я проверю этот «баг», так как выглядит это не очень хорошо. Приведите, пожалуйста, информацию об установке: данные из mt-check.cgi (пути можно изменить) и данные о базе данных (кодировка общая и таблицы с паролями — mt_author, а также конкретного поля с паролем в таблице mt_author — author_password).

              7 Ответ от XIT

              • XIT
              • Участник
              • Неактивен

                Re: Вход в админку по первым 8 символам в пароле..

                marlik пишет:

                Какой смысл делать пароль таким большим?

                Действительно какой смысл в пароле... Описанный баг подтверждаю: в  OS и Pro версиях одинаково.
                А пока поставил пароль на mt.cgi:

                <FilesMatch "mt.cgi">                                                                                                                                                                                                                        
AuthType Basic                                                                                                                                                                                                                               
AuthName "Please login"                                                                                                                                                                                                                      
AuthUserFile /path/.passwords                                                                                                                                                                                         
<Limit GET POST>                                                                                                                                                                                                                            
require valid-user                                                                                                                                                                                                                           
</Limit>                                                                                                                                                                                                                                                                                                                                                                                                                                                                    
</FilesMatch>

                Отредактировано XIT (16:08:2011 21:02:58)

                8 Ответ от saahov

                • saahov
                • saahov
                • Administrator
                • Неактивен

                  Re: Вход в админку по первым 8 символам в пароле..

                  Ага, у меня тоже работает, в том числе на 4-й версии. Я посмотрел обсуждения в Пронете, там тоже эта тема затрагивалась. Оказывается, не баг это, а особенность (то есть это было сделано преднамеренно, правда, непонятно зачем). Пароль состоит из 8 символов максимум, а остальное при вводе игнорируется. Обещали сделать возможность устанавливать более длинные пароли в новой версии.

                  9 Ответ от hooch

                  • hooch
                  • Участник
                  • Неактивен

                    Re: Вход в админку по первым 8 символам в пароле..

                    XIT, а что это даст, поясните?
                    Андрей, а может где-то можно поменять минимальное кол-во символов в пароле?

                    10 Ответ от qqwer1984

                    • qqwer1984
                    • Участник
                    • Неактивен

                      Re: Вход в админку по первым 8 символам в пароле..

                      marlik пишет:

                      Какой смысл делать пароль таким большим? Восьми символов будет достаточно, просто перемешайте с цифрами и разный регистр. От хулиганов поможет. А от серьезных людей нет, так как пароль по интернету передается открытым текстом. Вот-бы в админку вход по https они-бы сделали, это было-бы здорово.

                      ага... я бы еще добавил в пароль символы типа < ' [ " `
                      и примерно сделал бы его таким: 5Uf[A1"<4c уж поверьте... такой пароль будет куда безопасней... в среднем при хорошем соединении и хорошей программой через брут, такой пароль подобрать сможет программа миллиона через 5 - 6 лет :)...

                      11 Ответ от XIT

                      • XIT
                      • Участник
                      • Неактивен

                        Re: Вход в админку по первым 8 символам в пароле..

                        hooch пишет:

                        XIT, а что это даст, поясните?

                        Ну здоровым параноикам, вроде меня, станет легче на душе. Эти директивы, в .htaccess, призваны запросить логин и пароль, сгенерированные предварительно, при попытке обращения к mt.cgi файлу и только потом появится приглашение MT к авторизации в админку.

                        Сгенерировать пароль можно утилитой htpasswd, соединившись по SSH. Например:
                        htpasswd -с -s .passwords name_user
                        New password: вводим пароль
                        Re-type new password: вводим пароль повторно

                        Отредактировано XIT (17:08:2011 08:31:53)