Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
Michal Jankowski <m...@f...edu.pl> writes:
>> No właśnie nie. Przez długie lata o shadow nikomu się nie śniło,
>> hash
>> uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
>> "nielegalność" (niby jaką?), tylko o fakty historyczne.

>Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez
>długi
>czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne
>było
>specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie
>DoD
>wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
>COCOMem, to pewnie pamiętasz.
>To nie są fakty historyczne?

A jednak jakos nieliczne uniksy do nas trafialy.

A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
byly skompilowane ze statyczna funkcja ?

>BTW mam także delikatne wrażenie, że wersje BSD eksportowane
>oficjalnie
>do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale
>to
>oczywiście nie miało(by) większego znaczenia.

Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
zakazane czy dozwolone.

>>>> Tylko uwazano to za niegrozne.
>>> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow
>>> passwords.
>> Ale to było 20 lat później.

>Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie
>żyłem,
>a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
>trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może
>nie

Ale 20 lat pozniej.

https://en.wikipedia.org/wiki/Passwd
Password shadowing first appeared in Unix systems with the development
of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
Reno in 1990.
But, vendors who had performed ports from earlier UNIX releases did
not always include the new password shadowing features in their
releases, leaving users of those systems exposed to password file
attacks.

In 1987 the author of the original Shadow Password Suite, Julie Haugh,
experienced a computer break-in and wrote the initial release of the
Shadow Suite containing the login, passwd and su commands. The
original release, written for the SCO Xenix operating system, quickly
got ported to other platforms.
The Shadow Suite was ported to Linux in 1992 one year after the
original announcement of the Linux project, and was included in many
early distributions, and continues to be included in many current
Linux distributions.

>aż tak groźne jak np. dostęp shellowy.

A ponoc unix taki bezpieczny :-)

>Zauważ że we wcześniejszych
>wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość
>pliku
>passwd (prawdziwego) - jak również każdego innego pliku
>ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w
>rodzaju
>(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib
>/usr
>itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
przeszkadzalo.

J.