[Recent Entries][Archive][Friends][User Info]
| February 11th, 2008 | |
|---|---|
| 04:12 pm [Link] |     Озадачился я большим количеством файлов от phpшых сессий в /tmp. Все бы хуйня, но дай думаю вгляну внутрь.. а там ПАРОЛИ открытым текстом, ебать-колотить! Это же не правильно.. Полез ковырять, теперь пароли туда не пишутся.. p.s. зачем они такое сделали - непонятно.. |
| Comments | |
ll /tmp -rw------- 1 nobody nobody 146 Feb 11 16:24 sess_270a3c299935f493aab9504db508ffbd Да какая разница, пусть хоть вообще без прав. Не стоит хранить пароль где попало. Не правильно это =) Ну, видимо, кэшируют на протяжении сессии. А что делать? Если у nobody шелла нет, то какая разница, где их пароли хранятся? А уж если они до шелла доберутся... Тут дело в другом. Так как у меня pmwiki прикручен к ldapу, и авторизует пользователей в нем, то мне _крайне_ не хочется чтобы их логины\пароли гдето еще были кроме как в виде хеша в ldap. Более того, штатно, pmwiki умеет авторизовать только по паролю. Вот такая у него система. Сейчас он подружен с ldap, где имеет вес и логин и пароль. Т.е. принцип такой, wiki авторизуется в ldap (передавая login+pass), получает OK, пишет сессию (а я вот тут вклиниваюсь и убираю нахер пароль из данных для записи). Файлик записан, сессия висит, pmwiki в этот момент работает, вроде только с loginом и все работает на ура (и это при том, что пароля нигде не хранится).. Вот такая странная ситуация =))) но меня устраивает (Reply to this) (Parent) | |
![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small}