Hosted on HTTPS now

[ps-cgit] / filters / simple-authentication.lua
diff --git a/filters/simple-authentication.lua b/filters/simple-authentication.lua

index 5935d080f87e0388a2dfdcf9b8b1586f93c186d5..de34d092135d0db24b6a7057c00e3293e9fffe2c 100644 (file)
--- a/filters/simple-authentication.lua
+++ b/filters/simple-authentication.lua
@@ -12,17 +12,27 @@
  --
  --
  
  --
  --
  
+-- A list of password protected repositories along with the users who can access them.
  local protected_repos = {
         glouglou        = { laurent = true, jason = true },
         qt              = { jason = true, bob = true }
  }
  
  local protected_repos = {
         glouglou        = { laurent = true, jason = true },
         qt              = { jason = true, bob = true }
  }
  
+-- Please note that, in production, you'll want to replace this simple lookup
+-- table with either a table of salted and hashed passwords (using something
+-- smart like scrypt), or replace this table lookup with an external support,
+-- such as consulting your system's pam / shadow system, or an external
+-- database, or an external validating web service. For testing, or for
+-- extremely low-security usage, you may be able, however, to get away with
+-- compromising on hardcoding the passwords in cleartext, as we have done here.
  local users = {
         jason           = "secretpassword",
         laurent         = "s3cr3t",
         bob             = "ilikelua"
  }
  
  local users = {
         jason           = "secretpassword",
         laurent         = "s3cr3t",
         bob             = "ilikelua"
  }
  
+-- All cookies will be authenticated based on this secret. Make it something
+-- totally random and impossible to guess. It should be large.
  local secret = "BE SURE TO CUSTOMIZE THIS STRING TO SOMETHING BIG AND RANDOM"
  
  
  local secret = "BE SURE TO CUSTOMIZE THIS STRING TO SOMETHING BIG AND RANDOM"
  
  
@@ -36,7 +46,7 @@ local secret = "BE SURE TO CUSTOMIZE THIS STRING TO SOMETHING BIG AND RANDOM"
  -- Sets HTTP cookie headers based on post and sets up redirection.
  function authenticate_post()
         local password = users[post["username"]]
  -- Sets HTTP cookie headers based on post and sets up redirection.
  function authenticate_post()
         local password = users[post["username"]]
-       local redirect = validate_value(post["redirect"])
+       local redirect = validate_value("redirect", post["redirect"])
  
         if redirect == nil then
                 not_found()
  
         if redirect == nil then
                 not_found()
@@ -45,12 +55,12 @@ function authenticate_post()
  
         redirect_to(redirect)
  
  
         redirect_to(redirect)
  
-       -- TODO: Implement time invariant string comparison function to mitigate timing attack.
+       -- Lua hashes strings, so these comparisons are time invariant.
         if password == nil or password ~= post["password"] then
                 set_cookie("cgitauth", "")
         else
                 -- One week expiration time
         if password == nil or password ~= post["password"] then
                 set_cookie("cgitauth", "")
         else
                 -- One week expiration time
-               local username = secure_value(post["username"], os.time() + 604800)
+               local username = secure_value("username", post["username"], os.time() + 604800)
                 set_cookie("cgitauth", username)
         end
  
                 set_cookie("cgitauth", username)
         end
  
@@ -67,7 +77,7 @@ function authenticate_cookie()
                 return 1
         end
  
                 return 1
         end
  
-       local username = validate_value(get_cookie(http["cookie"], "cgitauth"))
+       local username = validate_value("username", get_cookie(http["cookie"], "cgitauth"))
         if username == nil or not accepted_users[username:lower()] then
                 return 0
         else
         if username == nil or not accepted_users[username:lower()] then
                 return 0
         else
@@ -82,7 +92,7 @@ function body()
         html_attr(cgit["login"])
         html("'>")
         html("<input type='hidden' name='redirect' value='")
         html_attr(cgit["login"])
         html("'>")
         html("<input type='hidden' name='redirect' value='")
-       html_attr(secure_value(cgit["url"], 0))
+       html_attr(secure_value("redirect", cgit["url"], 0))
         html("' />")
         html("<table>")
         html("<tr><td><label for='username'>Username:</label></td><td><input id='username' name='username' autofocus /></td></tr>")
         html("' />")
         html("<table>")
         html("<tr><td><label for='username'>Username:</label></td><td><input id='username' name='username' autofocus /></td></tr>")
@@ -122,12 +132,7 @@ function filter_open(...)
         cgit["repo"] = select(9, ...)
         cgit["page"] = select(10, ...)
         cgit["url"] = select(11, ...)
         cgit["repo"] = select(9, ...)
         cgit["page"] = select(10, ...)
         cgit["url"] = select(11, ...)
-
-       cgit["login"] = ""
-       for _ in cgit["url"]:gfind("/") do
-               cgit["login"] = cgit["login"] .. "../"
-       end
-       cgit["login"] = cgit["login"] .. "?p=login"
+       cgit["login"] = select(12, ...)
  
  end
  
  
  end
  
@@ -161,7 +166,7 @@ function url_encode(str)
                 return ""
         end
         str = string.gsub(str, "\n", "\r\n")
                 return ""
         end
         str = string.gsub(str, "\n", "\r\n")
-       str = string.gsub(str, "([^%w ])", function (c) return string.format("%%%02X", string.byte(c)) end)
+       str = string.gsub(str, "([^%w ])", function(c) return string.format("%%%02X", string.byte(c)) end)
         str = string.gsub(str, " ", "+")
         return str
  end
         str = string.gsub(str, " ", "+")
         return str
  end
@@ -189,9 +194,10 @@ end
  local crypto = require("crypto")
  
  -- Returns value of cookie if cookie is valid. Otherwise returns nil.
  local crypto = require("crypto")
  
  -- Returns value of cookie if cookie is valid. Otherwise returns nil.
-function validate_value(cookie)
+function validate_value(expected_field, cookie)
         local i = 0
         local value = ""
         local i = 0
         local value = ""
+       local field = ""
         local expiration = 0
         local salt = ""
         local hmac = ""
         local expiration = 0
         local salt = ""
         local hmac = ""
@@ -202,15 +208,17 @@ function validate_value(cookie)
  
         for component in string.gmatch(cookie, "[^|]+") do
                 if i == 0 then
  
         for component in string.gmatch(cookie, "[^|]+") do
                 if i == 0 then
-                       value = component
+                       field = component
                 elseif i == 1 then
                 elseif i == 1 then
+                       value = component
+               elseif i == 2 then
                         expiration = tonumber(component)
                         if expiration == nil then
                         expiration = tonumber(component)
                         if expiration == nil then
-                               expiration = 0
+                               expiration = -1
                         end
                         end
-               elseif i == 2 then
-                       salt = component
                 elseif i == 3 then
                 elseif i == 3 then
+                       salt = component
+               elseif i == 4 then
                         hmac = component
                 else
                         break
                         hmac = component
                 else
                         break
@@ -222,19 +230,23 @@ function validate_value(cookie)
                 return nil
         end
  
                 return nil
         end
  
-       -- TODO: implement time invariant comparison to prevent against timing attack.
-       if hmac ~= crypto.hmac.digest("sha1", value .. "|" .. tostring(expiration) .. "|" .. salt, secret) then
+       -- Lua hashes strings, so these comparisons are time invariant.
+       if hmac ~= crypto.hmac.digest("sha1", field .. "|" .. value .. "|" .. tostring(expiration) .. "|" .. salt, secret) then
+               return nil
+       end
+
+       if expiration == -1 or (expiration ~= 0 and expiration <= os.time()) then
                 return nil
         end
  
                 return nil
         end
  
-       if expiration ~= 0 and expiration <= os.time() then
+       if url_decode(field) ~= expected_field then
                 return nil
         end
  
         return url_decode(value)
  end
  
                 return nil
         end
  
         return url_decode(value)
  end
  
-function secure_value(value, expiration)
+function secure_value(field, value, expiration)
         if value == nil or value:len() <= 0 then
                 return ""
         end
         if value == nil or value:len() <= 0 then
                 return ""
         end
@@ -242,7 +254,8 @@ function secure_value(value, expiration)
         local authstr = ""
         local salt = crypto.hex(crypto.rand.bytes(16))
         value = url_encode(value)
         local authstr = ""
         local salt = crypto.hex(crypto.rand.bytes(16))
         value = url_encode(value)
-       authstr = value .. "|" .. tostring(expiration) .. "|" .. salt
+       field = url_encode(field)
+       authstr = field .. "|" .. value .. "|" .. tostring(expiration) .. "|" .. salt
         authstr = authstr .. "|" .. crypto.hmac.digest("sha1", authstr, secret)
         return authstr
  end
         authstr = authstr .. "|" .. crypto.hmac.digest("sha1", authstr, secret)
         return authstr
  end