home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Shareware BBS: 2 BBS / 02-BBS.zip / chkpassp.lzh / chekpass.doc < prev   
Text File  |  1993-07-25  |  5KB  |  116 lines
  1. The OS/2 version of CallMe (ver.1.42) does not perform password checking. 
  2. Although the author has indicated that a new version for OS/2 will be 
  3. released shortly we have no assurance that it will perform password 
  4. checking either.
  5.  
  6. The reason for checking passwords is that a new caller could log into your 
  7. BBS with the password "**EMSI_REQA77E" and provide the phone number of a
  8. local Fido BBS instead of his real number.  When CallMe calls that number 
  9. the BBS may answer with "**EMSI_REQA77E" which is the request for an EMSI
  10. session.  CallMe will accept that as a valid password for the user and 
  11. validate him/her. The user can login later and change his password to
  12. something less suspicious.  He now has an account on your system that 
  13. cannot be traced to his personal phone number.
  14.  
  15. Chekpass.cmd (included in this archive) is a REXX program that you can run
  16. from Max's menus.ctl.  It accepts the user's password as an argument and 
  17. compares it with the words listed in Badpass.txt (also included in this
  18. archive). If the user's password is found in the list then Chekpass.cmd 
  19. creates Badpass.flg which is just a flag file that Callmep.bbs looks for 
  20. when it runs.  If the flag file exits then the user is immediately 
  21. disconnected.  If the flag file does not exist then Callmep.bbs proceeds 
  22. with the verification.
  23.  
  24.  
  25. System Requirements
  26. =================
  27.  
  28. Chekpass.cmd is a REXX program for OS/2 and requires that the basic
  29. REXX interpreter be installed.  REXX extensions are not required.
  30.  
  31. Chekpass.cmd works in conjunction with CallMe ver.1.42 by Dan Thomson 
  32. widely distributed in the archive OS2CMAV.*.  Chekpass.cmd might work with 
  33. later versions of CallMe (though I suspect Dan has added password checking 
  34. to recent releases of CallMe) and might be adaptable to other call back
  35. verifiers as well.
  36.  
  37.  
  38. Installation
  39. =========
  40.  
  41. 1.  Put Chekpass.cmd and Badpass.txt in your Max directory, the directory
  42. that Maxp.exe resides in.
  43.  
  44. 2.  Add the following lines in the appropriate spot in Max's menus.ctl.
  45.  
  46.   Xtern_DOS             Chekpass.cmd_%e     Disgrace "Register"
  47.   NoDsp Display_File    Misc\Callmep          Disgrace "R"
  48.  
  49.  
  50.  
  51. 3.  Add the following line to your Callmep.mec, exactly as shown, watch the
  52. spaces and make sure there's no space between "[ifexist]" and 
  53. "badpass.flg" and 1 space following "badpass.flg" ......
  54.  
  55. [ifexist]badpass.flg Your password is not allowed. [pause][pause][hangup]
  56.  
  57.  
  58.    ....... so that Callmep.mec starts out something like this (don't chop 
  59. any lines out of Callmep.mec):
  60.  
  61.  
  62.    [ckoff moreoff cls]
  63.    [yellow blink]CALLME [lightred]-- [lightblue]Maximus Automatic Verifier
  64.           [green]by Dan Thomson, June 1992[pause][pause][pause]
  65.  
  66. [ifexist]badpass.flg Your password is not allowed. [pause][pause][hangup]
  67. [iftime GE 08:00 iftime LE 23:00][goto Continue]
  68. etc.
  69. etc.
  70.  
  71.  
  72.  
  73. 4.  Now run "Siltp max"  and "Meccap callmep" and test the installation 
  74. by asking a friend to log in with a phony name and one of the bad passwords
  75. listed in Badpass.txt.
  76.  
  77.  
  78. Editing Badpass.txt
  79. ===============
  80.  
  81. Badpass.txt is just a flat ASCII file so use an appropriate editor.  You 
  82. can add whatever you want to the list of bad passwords but it MUST be in
  83. uppercase.  Chekpass.cmd converts the password it receives from Max into 
  84. uppercase to facilitate comparisons.  If, for example, you put "horse" 
  85. in the list and a user has chosen "HORSE" as his password then 
  86. Chekpass.cmd will regard this as an acceptable password and continue
  87. with the verification.
  88.  
  89. Chekpass.cmd is simple and does not recognize comments in Badpass.txt.  You
  90. can add comments but Chekpass will treat them as part of the list of bad
  91. passwords.  That should be OK though if you make your comment lines so 
  92. long that no user is likely to use exactly the same line as a password.  I 
  93. haven't tested this idea because I see no need for comments in 
  94. Badpass.txt.  If you want to add comments then you should probably test to 
  95. see if they work OK.
  96.  
  97.  
  98. Conclusion
  99. =========
  100.  
  101. Use this little REXX ditty free of charge.  Hack it any way you want but if
  102. you do then please remove my name from it and package it under a different 
  103. filename before distributing it so that it can't be confused with mine.
  104.  
  105. The following addresses/numbers may be invalid soon.  It looks like I may
  106. have to move again soon.  Though I may disappear for a week or 2, I'll be
  107. back in the nodelist before long. 
  108.  
  109. Kim Bergman
  110. The Sailboard
  111. Fido 1:358/25
  112. data: 403-824-3019
  113. voice: 403-824-3923
  114. Nobleford, Alberta
  115. T0L 1S0
  116.