[Postfixbuch-users] Kundenserver filzen

Rudi Floren rudi.floren at googlemail.com
Di Aug 23 18:19:10 CEST 2011 

Halo Stefan,

Du hast die Passwörter doch wohl nicht als Plaintext in deiner DB 
stehen. Siehe Gema Hack. ;)

Gruß
Rudi


Am 23.08.2011 18:05, schrieb Stefan G. Weichinger:
> Am 2011-08-23 17:18, schrieb Christian Boltz:
>> Hallo Rudi, hallo Stefan, hallo Leute,
> Hey, Christian,
> hallo, alle ...
>
>> Ich bin inzwischen zur Überzeugung gekommen, dass wir vermutlich ein
>> Array mit (potenziell) mehreren RegEx brauchen. Damit kann man dann
>> gleich mehrere Dinge erschlagen:
>> /......../ - Mindestlänge 8 Zeichen (könnte $CONF[min_password_length]
>>               ersetzen)
>> /[a-zA-Z]/ - muss mindestens einen Buchstaben enthalten
>> /[0-9]/    - muss mindestens eine Ziffer enthalten
>> /^[^¿¡]*$/  - darf kein ¿ oder ¡ enthalten [1]
>> usw.
>>
>> Wenn man da noch ein paar Bedingungen dazupackt und es mit einer
>> einzigen RegEx machen will, wäre das Ergebnis eine Monster-RegEx ;-)
>> daher sind mehrere RegEx wohl die bessere Lösung.
> Klingt sehr plausibel für mich.
>
>> Das Ganze muss dann wohl in ein Array:
>>
>> $CONF['password_validation'] = array(
>>      '/......../' =>  'Fehlermeldung, wenn nicht erfüllt',
>>      [...]
>> );
>>
>> und das Array muss dann in einer foreach-Schleife ausgewertet werden.
>>
>> Mit etwas Glück komme ich in den nächsten Tagen dazu, das zu
>> implementieren. Die Theorie (siehe oben) steht ja jetzt.
>>
>> Die Fehlermeldung sollte möglichst aus $PALANG kommen - was die Sache
>> nochmal interessanter macht, weil ich dann auch noch den Hook für die
>> $PALANG-Texte einbauen muss ;-)
> Wäre grossartig, das bald umgesetzt zu sehen, ja.
> Bin bereit, das zu testen, zum Programmieren fehlt es mir dann doch an
> Knowhow und Übung.
>
> Ich erwäge derweilen, den Kunden-Server vorerst mal in seinen
> Möglichkeiten einzuschränken, und dränge weiter vehement auf
> durchgängiges Setzen ordentlicher PWs ... habe mir heute die Table aus
> postfixadmin extrahiert, da sind leider noch immer ein paar faule Eier drin.
>
>> [1] "¿¡" ist jetzt ein willkürlich gewähltes Beispiel, aber es gab
>>      tatsäclich mal eine Anfrage, wie man bestimmte Zeichen im Passwort
>>      verbieten kann. Hintergrund war, dass es für die betreffende Sprache
>>      (IIRC russisch) 3 verschiedene Zeichensätze gibt und es daher einem
>>      Lottospiel gleicht, ob das Passwort in der richtigen Codierung
>>      ankommt oder wegen falscher Codierung als "falsch" angesehen wird.
> Ach, wie einfach unser Leben doch durch die IT geworden ist ;-)
>
> Danke, Grüße, Stefan

Mehr Informationen über die Mailingliste Postfixbuch-users