[vmchecker-dev] [vmchecker] Bug caractere speciale în parolă
Calin Iorgulescu
calin.iorgulescu at gmail.com
Tue Nov 23 01:00:15 EET 2010
2010/11/23 Claudiu-Dan Gheorghe <claudiugh at gmail.com>
> Eu n-am zis nimic de GET :) Diferenta dintre GET si POST oricum e
> irelevanta din punctul de vedere al securitatii. Eu n-am o preferinta
> aici, mi se pare fix acelasi lucru.
>
> 2010/11/22 Calin Iorgulescu <calin.iorgulescu at gmail.com>:
> > Salut Claudiu,
> >
> > Ok, dar chiar are sens să lăsăm login-ul să se facă prin GET? Adică
> sincer
> > să fiu e singura funcție care se face prin GET. Mi se pare atât un risc
> de
> > securitate cât și o chestie un pic atipică. Just my $0.02.
> >
>
> --
> Claudiu
>
Știu că n-ai zis, e vorba de implementare :). La ora actuală funcția de
Delegate are caz separat pentru GET și pentru POST. Și singura funcție care
face folos de GET e cea de login. De aici și problema cu '&' și alte astfel
de caractere.
În plus, dacă nu mă înșel, din ce mi-a spus Alex Herișanu, LDAP-ul nu este
unicode, dar o să testez să mă asigur. În acest caz parolele oricum nu pot
conține diacrtiice, iar numele de utilizatori _clar_ nu conțin. Deci un
base64 e suficient. :)
Călin
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.rosedu.org/pipermail/vmchecker-dev/attachments/20101123/c8e43325/attachment.htm>
More information about the vmchecker-dev
mailing list