Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
>> przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w
>> passwd.

>Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?

No tak od 1970 to 1990.

No dobra - nie znam na tyle historii Unixa, to nie wiem kiedy wybrali
DES do hasel,
moze to byl np 1975, moze w 1985 zaczelo pierwszemu przeszkadzac - jak
cytowalismy - jeszcze w 1990 wiele systemow nie mialo shadow.

>Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd.
>Tylko
>zalogowani userzy shellowi.

Czy nie Ty pisales, ze anonimowi ftp tez ?

>To przeszkadzało (być może) mniej, niż
>lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało -
>stąd
>powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów,
>by
>nie mogli ustawiać trywialnych),

A reszta nadal uwazana za bezpieczne :-)

>> Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
>> bardzo wiele luk w unixach - i to wszystkich,

>Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
>oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
>było wtedy nieco głośnych przypadków (największe chyba w sendmailu).

Pare metod bylo dosc uniwersalnych - np przepelnienie zmiennej na
stosie.
Tylko nie kazdy system pozwalal wykonywac program ze stosu.

>> Zreszta skoro kazdy moze zostac rootem, to co to za
>> bezpieczenstwo -
>> shadow tez moze odczytac :-)
>Sam widzisz.

Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy
glowy w piasek ? :-)

J.