nicht angemeldet
Finger weg davon. Online-Tools zur Erzeugung und Verarbeitung von Passwörtern sind im Allgemeinen nur mit sehr viel Skepsis zu begegnen.
Das Skript, um das es hier geht, gibt in der Standard-Konfiguration den Inhalt der .htpasswd-Datei aus. Den Inhalt kann dann jeder Mensch sehen und bearbeiten. Wenn man dann noch dem Link am Seitenende zu http://www.fastix.org folgt, wird die URL des Skripts als Referrer an den Seitenbetreiber übertragen. Er wird de facto darüber benachrichtigt, dass das Skript gerade irgendwo im Einsatz ist. Er kann das nutzen, um die Passwort-Hashes auszulesen oder sich einen eigenen Benutzer anzulegen. Das kann auch vollautomatisch innerhalb weniger Millisekunden geschehen.
Wenn man außerdem die Option FTX_USE_BCRYPT auf 0 setzt, wird ein Pseudozufallsgenerator zur Erzeugung des Salts benutz. Pseudozufallsgeneratoren gelten für kryptografische Zwecke aber nicht als sicher.
Außerdem ist das Skript anfällig für XSS-Angriffe. Die Funktion PrintUserList maskiert an einer Stelle die Variable $strUser nicht kontextgerecht. Ein Angreifer kann sich das zu Nutze machen und einen Keylogger einschlesuen um so an die Passworte im Klartext kommen. In Kombination mit der ersten Sicherheitslücke ist das die perfekte Hintertür.