Ostatnio znaleźliśmy ciekawą właściwość logowania się do domeny na stacjach serwerowych. Jeśli ktoś ma zablokowane konto, to nie jest sprawdzane, czy wpisane hasło jest prawidłowe.

Uproszczony schemat wygląda następująco:

Schemat

Oczywiście jest to schemat bardzo uproszczony. pomija kwestie wygaśniętych haseł i kont, oraz istnienia konta w ogóle. IMHO powinno być na odwrót – w ten sposób można zenumerować zablokowane konta w domenie.

Na WS2003 było na pewno inaczej – komunikat o blokadzie konta pojawiał się dopiero po udanym uwierzytelnieniu. Jak uda mi się coś na ten temat znaleźć, to jeszcze napiszę…

Spread the love

Comments (3)

  1. Odpowiedz

    Byl jakis czas temu watek w temacie na wss.pl – nie chce mi sie teraz szukac dokladnego watku. Pytanie … w czym takie zachowanie przeszkadza? W zasadzie w tej chwili nie mozna zgadywac hasla w przypadku zablokowanych kont … co jest lepszym rozwiazaniem IMO.

  2. domel

    Odpowiedz

    wątek był mój ;) i się zgadzam. teraz jest bezpieczniej :) nie wiadomo, czy udało mi sięzgadnąć hasło zablokowanego usera.

  3. skuter

    Odpowiedz

    tia.. to ja wiem juz od jakiegos czasu, ale nie widze w tym schemacie niczego dziwnego.

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.