treewide: Update webui password on password change #22
No reviewers
Labels
No Label
RFC
RFT
WIP
blocked
bsp
bug
build/scripts/tools
duplicate
feature
fixed
layer3
mantis
more details required
needs changes
node
packages/fff
rejected
security
trivial
upstream
No Milestone
No Assignees
4 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: freifunk-franken/firmware#22
Loading…
Reference in New Issue
No description provided.
Delete Branch "rohammer:passwd"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Fixes: #11
Signed-off-by: Robert Langhammer rlanghammer@web.de
@ -23,4 +26,3 @@
# and color my prompt
export PS1='\[\033[01;32m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
was ist denn hier die Änderung und warum?
Keine Aenderung. Ich konnte ihn nicht dazu ueberreden das wegzulassen. Mit oder ohne newline? Ich hab's nicht gefunden. Tut ja nix.
Die Änderung ist, dass vorher hier keine Newline war, und jetzt ist da eine.
Is schon ganz schön eklig. Aber ne bessere Lösung hab ich auch nicht. uhttpd ließt die passenden Hashes leider schon beim starten und danach nie wieder. Das sollte man eigentlich mal Upstream fixen.
Bis dahin werden wir wohl mit diesem Workaround leben müssen.
@ -14,2 +14,4 @@
[ -x /usr/bin/ldd ] || ldd() { LD_TRACE_LOADED_OBJECTS=1 $*; }
# update uhttpd passwd on passwd-change
[ -L /etc/rc.d/S50uhttpd ] && passwd() { /bin/passwd && /etc/init.d/uhttpd restart && echo "password for webui updated"; }
Zwei Kleinigkeiten:
Ansonsten passts.
Erledigt. test -e und echo weg.
Reviewed-by: Fabian Bläse <fabian@blaese.de>
832714ed1a
to256df08949
Also ich persönlich sehe das nicht als großes Problem an und würde eher mit dem aktuellen Zustand leben als den Workaround so zu applien.
Ich sehe das schon relativ kritisch. Damit rechnet man nicht und so lange der Router nicht rebootet wird, ist er angreifbar.
Ich war schon leicht geschockt, als ich durch Zufall bemerkte, dass mein Netz viele Tage via ffol offen war. Obwohl ich brav nach dem ersten Boot gleich passwd gemacht habe. Das darf nicht sein!
Klar waere ein fix des uhttpd das Richtige. Aber das kann ich nicht.
Der Sicherheitsaspekt war mir nicht so richtig präsent. Dann gebe ich meinen Widerstand auf.
Wird heute mit gemergt, vielen Dank.
Pull request closed