View Issue Details
| ID | Project | Category | View Status | Date Submitted | Last Update |
|---|---|---|---|---|---|
| 0000123 | Freifunk Franken Firmware | General | public | 2019-03-11 11:37 | 2019-11-21 22:21 |
| Reporter | SebaBe | Assigned To | Adrian Schmutzler | ||
| Priority | normal | Severity | minor | Reproducibility | always |
| Status | confirmed | Resolution | open | ||
| Target Version | next-feature | ||||
| Summary | 0000123: Ungültige Zeichen in "Passwort ändern" Maske im WebUI | ||||
| Description | Die "Passwort ändern" Maske im WebUI akzeptiert nicht alle Zeichen. Ein "&" erzeugt "ungültige Zeichen" und verhindert das änder des Passworts. | ||||
| Steps To Reproduce | Eingabe eines Passworts mit ungültigem Zeichen in "Passwort ändern" Maske im WebUI | ||||
| Additional Information | Problem festgestellt mit aktueller v2 Firmware. Ursache eingegrenzt mit Adrians aktueller FW | ||||
| Tags | No tags attached. | ||||
|
|
Die erlaubten Zeichen werden hier definiert: https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-web/files/www/ssl/cgi-bin/password.html#L7 Das Problem ist, dass die Zeichen für das htpasswd Zeug restriktiver sind als Linux passwd. Wenn du sicher belegen kannst, dass "&" von htpasswd gefressen wird, können wir das Zeichen auch zulassen. |
|
|
Ein passwd via SSH akzeptiert das "&". Sollten nicht generell alle ASCII Zeichen erlaubt sein? |
|
|
Ein Passwort via SSH schon, aber das htpasswd für das WebUI nicht, deswegen haben wir das damals eingeführt. |
|
|
Mit htpasswd hat das nichts zu tun, denn wir haben die uhttpd.conf auf "/:root:$p$root" stehen, womit das Passwort gegen die gehashte Version in /etc/shadow (UNIX-Standard) verglichen wird. '&' ist als Zeichen definitiv möglich, habs grade getestet. Ich sehe nicht, warum ein bestimmte Zeichen nicht gehen sollten. Das ist dann wohl eher ein Bug im uhttpd... |
|
|
Das Problem ist dass die Eingabe im Browser bei gesetztem htpasswd nur bestimmte Zeichen zulässt. Deshalb habe ich für das WebUI-Passwort eine Whitelist definiert. Problem war damals glaube ich das Euro-Zeichen: Man konnte ein Passwort mit Euro-Zeichen per WebUI setzen und sich auch per SSH danach mit dem korrekten Passwort einloggen. Hat man versucht sich per WebUI mit dem korrekten Passwort einzuloggen, kam man nicht rein. Ein reiner WebUI-Nutzer konnte sich also damit aussperren. Die damals gewählte Zeichenliste war willkürlich. Man könnte also nun per ssh ein Passwort mit "&" setzen und testen, ob man sich damit ins WebUI einloggen kann. Wenn das geht, kann man einen Patch schicken, der das "&" zur Liste hinzufügt. Wenn das nicht geht, macht man nichts. In jedem Fall kann man diesen Bug Report schließen. |
|
|
Jo. '&' hab ich grade auch so getestet. Es wundert mich dennoch, dass es Zeichen gibt, die ein Browser nicht frisst. htpasswd hängt nur indirekt mit Basic Auth zusammen. Man kann auch Basic Auth ohne htpasswd machen. |
| Date Modified | Username | Field | Change |
|---|---|---|---|
| 2019-03-11 11:37 | SebaBe | New Issue | |
| 2019-03-11 13:08 | Adrian Schmutzler | Note Added: 0000337 | |
| 2019-03-11 13:08 | Adrian Schmutzler | Assigned To | => Adrian Schmutzler |
| 2019-03-11 13:08 | Adrian Schmutzler | Status | new => assigned |
| 2019-03-11 13:20 | SebaBe | Note Added: 0000338 | |
| 2019-03-11 13:27 | Adrian Schmutzler | Note Added: 0000339 | |
| 2019-10-02 12:46 | fbl | Category | Freifunk Franken Firmware => General |
| 2019-10-02 12:48 | fbl | Category | General => General2 |
| 2019-10-02 12:49 | fbl | Category | General2 => General |
| 2019-11-21 21:33 | fbl | Note Added: 0000349 | |
| 2019-11-21 21:34 | fbl | Status | assigned => confirmed |
| 2019-11-21 21:35 | fbl | Target Version | => next-feature |
| 2019-11-21 21:38 | fbl | Product Version | => next-feature |
| 2019-11-21 21:38 | fbl | Product Version | next-feature => |
| 2019-11-21 22:12 | Adrian Schmutzler | Note Added: 0000363 | |
| 2019-11-21 22:21 | fbl | Note Added: 0000367 |
