проблема веб-морде

cjcrazy

проблема следущая - два пользователя хотели пополнить счёт по картам оплаты.
но не смогли даже зайти в статистику.
в лог апача сыпалось:

Код: Выделить всё

&#91;Tue Mar  1 00&#58;05&#58;49 2005&#93; &#91;error&#93; &#91;client 10.200.3.12&#93; Premature end of script headers&#58; /var/www/stat/cgi/aaa5

у одного из пользователей форточка - xp, браузер ie.

версия биллинга - 5.10.008

что самое интересное, ежели заменить веб-морду на версию 5.10.007, то жанных проблем не наблюдается

gbdj · Сообщение **gbdj** » Вт мар 01, 2005 14:48

[Mon Feb 21 18:31:41 2005] [error] [client x.x.x.x] Premature end of script headers: /store/www/utm5/cgi-bin/utm5/aaa5
[Mon Feb 21 19:34:36 2005] [error] [client x.x.x.x] Premature end of script headers: /store/www/utm5/cgi-bin/utm5/user5

В новом билде 5.10.008 действительно появилась такая проблема, которой не было в 5.10.006

В случае со скриптом aaa5 она вызывается при попытке залогиниться с паролем содержащем символы `/, и др.
т.е. при любом логине, неважно правильный пароль или нет
обращений к ядру вообще не происходит
apache возвращает internal server error и пишет в лог вышеприведенные строчки

Очень хотелось бы чтоб при любых вводимых пользователем входных данных скрипт не падал, а выдавал внятное сообщение, что ему не нравиться, например как при вводе неправильного пароля.

Помимо этого, пользователи которые успели поменять себе пароль на нечто содержащее запятую теперь не могут вообще попасть в статистику.
Есть мнение что политика на допустимые пароли должна совпадать на формах логина и смены пароля, а так же не меняться от билда к билду

cjcrazy

gbdj писал(а):[Mon Feb 21 18:31:41 2005]
В случае со скриптом aaa5 она вызывается при попытке залогиниться с паролем содержащем символы `/, и др.
т.е. при любом логине, неважно правильный пароль или нет
обращений к ядру вообще не происходит
apache возвращает internal server error и пишет в лог вышеприведенные строчки

пароли в пределах нормы (без спец-символов)

gbdj · Сообщение **gbdj** » Вт мар 01, 2005 16:06

Собственно я к разработчикам обращаюсь.
До 008 билда никаких "Premature end of script headers" небыло вообще
Я лишь привел гарантированный способ это воспроизвести.
Так же кроме cgi-bin/utm5/aaa5 ошибки создает cgi-bin/utm5/user5
По какой причине сказать не могу, но проблема похоже имеет один источник - низкую дуракоустойчивость к входным данным

Сообщение **Lex** » Вт мар 15, 2005 12:46

gbdj писал(а):В случае со скриптом aaa5 она вызывается при попытке залогиниться с паролем содержащем символы `/, и др.
т.е. при любом логине, неважно правильный пароль или нет
обращений к ядру вообще не происходит
apache возвращает internal server error и пишет в лог вышеприведенные строчки

Символы, которые сейчас не могут встречаться в пароле:

изображение символа код символа

Single quote ' 39
Double quote " 34
Slash / 47
Back slash \ 92
; 59
: 58
% 37

sg · Сообщение sg » Ср мар 16, 2005 18:47

Хотелось бы чтоб при создании пароля в UTM Admin и/или его смене в web интерфейсе была проверка на корректность пароля и сообщение об ошибке.