View Issue Details

IDProjectCategoryView StatusLast Update
0000123Freifunk Franken FirmwareGeneralpublic2019-11-21 22:21
ReporterSebaBe Assigned ToAdrian Schmutzler  
PrioritynormalSeverityminorReproducibilityalways
Status confirmedResolutionopen 
Target Versionnext-feature 
Summary0000123: Ungültige Zeichen in "Passwort ändern" Maske im WebUI
Description Die "Passwort ändern" Maske im WebUI akzeptiert nicht alle Zeichen.

Ein "&" erzeugt "ungültige Zeichen" und verhindert das änder des Passworts.
Steps To ReproduceEingabe eines Passworts mit ungültigem Zeichen in "Passwort ändern" Maske im WebUI
Additional InformationProblem festgestellt mit aktueller v2 Firmware.

Ursache eingegrenzt mit Adrians aktueller FW
TagsNo tags attached.

Activities

Adrian Schmutzler

2019-03-11 13:08

manager   ~0000337

Die erlaubten Zeichen werden hier definiert:
https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-web/files/www/ssl/cgi-bin/password.html#L7

Das Problem ist, dass die Zeichen für das htpasswd Zeug restriktiver sind als Linux passwd. Wenn du sicher belegen kannst, dass "&" von htpasswd gefressen wird, können wir das Zeichen auch zulassen.

SebaBe

2019-03-11 13:20

reporter   ~0000338

Ein passwd via SSH akzeptiert das "&".

Sollten nicht generell alle ASCII Zeichen erlaubt sein?

Adrian Schmutzler

2019-03-11 13:27

manager   ~0000339

Ein Passwort via SSH schon, aber das htpasswd für das WebUI nicht, deswegen haben wir das damals eingeführt.

fbl

2019-11-21 21:33

administrator   ~0000349

Mit htpasswd hat das nichts zu tun, denn wir haben die uhttpd.conf auf "/:root:$p$root" stehen, womit das Passwort gegen die gehashte Version in /etc/shadow (UNIX-Standard) verglichen wird.

'&' ist als Zeichen definitiv möglich, habs grade getestet.

Ich sehe nicht, warum ein bestimmte Zeichen nicht gehen sollten. Das ist dann wohl eher ein Bug im uhttpd...

Adrian Schmutzler

2019-11-21 22:12

manager   ~0000363

Das Problem ist dass die Eingabe im Browser bei gesetztem htpasswd nur bestimmte Zeichen zulässt. Deshalb habe ich für das WebUI-Passwort eine Whitelist definiert. Problem war damals glaube ich das Euro-Zeichen:

Man konnte ein Passwort mit Euro-Zeichen per WebUI setzen und sich auch per SSH danach mit dem korrekten Passwort einloggen. Hat man versucht sich per WebUI mit dem korrekten Passwort einzuloggen, kam man nicht rein. Ein reiner WebUI-Nutzer konnte sich also damit aussperren.

Die damals gewählte Zeichenliste war willkürlich. Man könnte also nun per ssh ein Passwort mit "&" setzen und testen, ob man sich damit ins WebUI einloggen kann. Wenn das geht, kann man einen Patch schicken, der das "&" zur Liste hinzufügt. Wenn das nicht geht, macht man nichts. In jedem Fall kann man diesen Bug Report schließen.

fbl

2019-11-21 22:21

administrator   ~0000367

Jo. '&' hab ich grade auch so getestet.
Es wundert mich dennoch, dass es Zeichen gibt, die ein Browser nicht frisst.

htpasswd hängt nur indirekt mit Basic Auth zusammen. Man kann auch Basic Auth ohne htpasswd machen.

Issue History

Date Modified Username Field Change
2019-03-11 11:37 SebaBe New Issue
2019-03-11 13:08 Adrian Schmutzler Note Added: 0000337
2019-03-11 13:08 Adrian Schmutzler Assigned To => Adrian Schmutzler
2019-03-11 13:08 Adrian Schmutzler Status new => assigned
2019-03-11 13:20 SebaBe Note Added: 0000338
2019-03-11 13:27 Adrian Schmutzler Note Added: 0000339
2019-10-02 12:46 fbl Category Freifunk Franken Firmware => General
2019-10-02 12:48 fbl Category General => General2
2019-10-02 12:49 fbl Category General2 => General
2019-11-21 21:33 fbl Note Added: 0000349
2019-11-21 21:34 fbl Status assigned => confirmed
2019-11-21 21:35 fbl Target Version => next-feature
2019-11-21 21:38 fbl Product Version => next-feature
2019-11-21 21:38 fbl Product Version next-feature =>
2019-11-21 22:12 Adrian Schmutzler Note Added: 0000363
2019-11-21 22:21 fbl Note Added: 0000367