安全漏洞在Ubuntu遠程桌面密碼

Question

我希望其他人可以證實這一點對我，然後我可以通過使用SSH隧道沿到任何規範或TightVNC的

通過它，我遠程連接到一個Ubuntu 12.10桌面 - 這是從桌面我使用膩子ssh進入遠程桌面。膩子被配置爲打開遠程桌面端口的SSH隧道 - 例如5900

然後，我使用TightVNC查看器VNC到localhost：5900，然後隧道通過SSH並連接我 - 這是在SSH隧道的一小課，但不是問題。另外我不使用端口5900 - 隧道是方便，以避免在您的防火牆上打開端口，但我離題...

遠程Ubuntu桌面配置爲允許使用密碼遠程連接。 TightVNC提示我輸入密碼。如果我輸入的密碼從實際密碼開始，Ubuntu接受任何密碼。意思是，如果我的密碼是FOO - FOOBAR的作品，FOO1234的作品等。

這是設計嗎？這不會顯着降低密碼的有效性。

其他人可以重現嗎？我不認爲隧道與此有任何關係。如果其他人可以使用VNC和密碼遠程登錄到Ubuntu桌面，並試試這個，我想聽聽它。

Answer 1

密碼限制爲8個字符，因此查看器截取的長度限制爲8個字符。

雖然TightVNC的加密發送的淨VNC密碼，交通的其餘部分 被作爲是，未加密（密碼加密， VNC使用DES加密的質詢 - 響應方案，其中的 密碼受限於8個字符，並且有效DES密鑰長度 是56位）。 [大膽加入]

從http://www.tightvnc.com/faq.php