]> git.meshlink.io Git - meshlink/commit
Ensure the invitation filenames do not reveal the secret cookie.
authorGuus Sliepen <guus@tinc-vpn.org>
Tue, 20 Aug 2013 21:09:36 +0000 (23:09 +0200)
committerGuus Sliepen <guus@tinc-vpn.org>
Tue, 20 Aug 2013 21:09:36 +0000 (23:09 +0200)
commit9699f08afc6420d2bdac1063ea6789b585aaf42e
tree80101d0d7438422fbdbf0d98f5f9638c098a2de7
parent5dec1c25713a19c49fcbb885200184a9682ef175
Ensure the invitation filenames do not reveal the secret cookie.

Since filenames could potentially leak to unprivileged users (for example,
because of locatedb), it should not contain the cookie used for invitations.
Instead, tinc now uses the hash of the cookie and the invitation key as the
filename to store pending invitations in.
src/invitation.c
src/protocol_auth.c