<html>

 <body>

  <div style="font-family: Verdana, Arial, Helvetica, Sans-Serif;">

   <table bgcolor="#f9f3c9" width="100%" cellpadding="12" style="border: 1px #c9c399 solid; border-radius: 6px; -moz-border-radius: 6px; -webkit-border-radius: 6px;">

    <tr>

     <td>

      This is an automatically generated e-mail. To reply, visit:

      <a href="https://git.reviewboard.kde.org/r/126990/">https://git.reviewboard.kde.org/r/126990/</a>

     </td>

    </tr>

   </table>

   <br />

<blockquote style="margin-left: 1em; border-left: 2px solid #d0d0d0; padding-left: 10px;">

 <p style="margin-top: 0;">On February 5th, 2016, 9:36 a.m. CET, <b>David Faure</b> wrote:</p>

 <blockquote style="margin-left: 1em; border-left: 2px solid #d0d0d0; padding-left: 10px;">

<table width="100%" border="0" bgcolor="white" style="border: 1px solid #C0C0C0; border-collapse: collapse; margin: 2px padding: 2px;">

 <thead>

  <tr>

   <th colspan="4" bgcolor="#F0F0F0" style="border-bottom: 1px solid #C0C0C0; font-size: 9pt; padding: 4px 8px; text-align: left;">

    <a href="https://git.reviewboard.kde.org/r/126990/diff/1/?file=442723#file442723line73" style="color: black; font-weight: bold; text-decoration: underline;">autotests/http/httpauthenticationtest.cpp</a>

    <span style="font-weight: normal;">

     (Diff revision 1)

    </span>

   </th>

  </tr>

 </thead>

 <tbody>

  <tr>

    <th bgcolor="#b1ebb0" style="border-right: 1px solid #C0C0C0;" align="right"><font size="2"></font></th>

    <td bgcolor="#c5ffc4" width="50%"><pre style="font-size: 8pt; line-height: 140%; margin: 0; "></pre></td>

    <th bgcolor="#b1ebb0" style="border-left: 1px solid #C0C0C0; border-right: 1px solid #C0C0C0;" align="right"><font size="2">73</font></th>

    <td bgcolor="#c5ffc4" width="50%"><pre style="font-size: 8pt; line-height: 140%; margin: 0; ">        <span class="n">ipad</span><span class="p">[</span><span class="n">i</span><span class="p">]</span> <span class="o">^=</span> <span class="n">key</span><span class="p">[</span><span class="n">i</span><span class="p">];</span></pre></td>

  </tr>

 </tbody>

</table>

  <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">What if key.size() > 64?  (this goes out of bounds, then). Or is this always ensured by the caller?

(I would add a Q_ASSERT then).</p></pre>

 </blockquote>

</blockquote>

<pre style="margin-left: 1em; white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">I've added a Q_ASSERT as suggested. I've also added a qMin() for the key size to make sure it also works reliably with QT_NO_DEBUG.</p>

<p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">Since the code was taken directly out of kntlm.cpp I've also updated the original implementation.</p></pre>

<br />

<blockquote style="margin-left: 1em; border-left: 2px solid #d0d0d0; padding-left: 10px;">

 <p style="margin-top: 0;">On February 5th, 2016, 9:36 a.m. CET, <b>David Faure</b> wrote:</p>

 <blockquote style="margin-left: 1em; border-left: 2px solid #d0d0d0; padding-left: 10px;">

<table width="100%" border="0" bgcolor="white" style="border: 1px solid #C0C0C0; border-collapse: collapse; margin: 2px padding: 2px;">

 <thead>

  <tr>

   <th colspan="4" bgcolor="#F0F0F0" style="border-bottom: 1px solid #C0C0C0; font-size: 9pt; padding: 4px 8px; text-align: left;">

    <a href="https://git.reviewboard.kde.org/r/126990/diff/1/?file=442723#file442723line84" style="color: black; font-weight: bold; text-decoration: underline;">autotests/http/httpauthenticationtest.cpp</a>

    <span style="font-weight: normal;">

     (Diff revision 1)

    </span>

   </th>

  </tr>

 </thead>

 <tbody>

  <tr>

    <th bgcolor="#b1ebb0" style="border-right: 1px solid #C0C0C0;" align="right"><font size="2"></font></th>

    <td bgcolor="#c5ffc4" width="50%"><pre style="font-size: 8pt; line-height: 140%; margin: 0; "></pre></td>

    <th bgcolor="#b1ebb0" style="border-left: 1px solid #C0C0C0; border-right: 1px solid #C0C0C0;" align="right"><font size="2">84</font></th>

    <td bgcolor="#c5ffc4" width="50%"><pre style="font-size: 8pt; line-height: 140%; margin: 0; ">    <span class="n">memcpy</span><span class="p">(</span><span class="n">content</span><span class="p">.</span><span class="n">data</span><span class="p">(),</span> <span class="n">opad</span><span class="p">,</span> <span class="mi">64</span><span class="p">);</span></pre></td>

  </tr>

 </tbody>

</table>

  <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">If opad was a QByteArray from the start, this copying wouldn't be needed (you could just append to opad instead in the next line)</p></pre>

 </blockquote>

</blockquote>

<pre style="margin-left: 1em; white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">I've rewritten the implementation to use QByteArray instead of C arrays.</p>

<p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">As with the change above I've ported the changes to the original implementation in kntlm.cpp.</p></pre>

<br />

<blockquote style="margin-left: 1em; border-left: 2px solid #d0d0d0; padding-left: 10px;">

 <p style="margin-top: 0;">On February 5th, 2016, 9:36 a.m. CET, <b>David Faure</b> wrote:</p>

 <blockquote style="margin-left: 1em; border-left: 2px solid #d0d0d0; padding-left: 10px;">

<table width="100%" border="0" bgcolor="white" style="border: 1px solid #C0C0C0; border-collapse: collapse; margin: 2px padding: 2px;">

 <thead>

  <tr>

   <th colspan="4" bgcolor="#F0F0F0" style="border-bottom: 1px solid #C0C0C0; font-size: 9pt; padding: 4px 8px; text-align: left;">

    <a href="https://git.reviewboard.kde.org/r/126990/diff/1/?file=442723#file442723line93" style="color: black; font-weight: bold; text-decoration: underline;">autotests/http/httpauthenticationtest.cpp</a>

    <span style="font-weight: normal;">

     (Diff revision 1)

    </span>

   </th>

  </tr>

 </thead>

 <tbody>

  <tr>

    <th bgcolor="#b1ebb0" style="border-right: 1px solid #C0C0C0;" align="right"><font size="2"></font></th>

    <td bgcolor="#c5ffc4" width="50%"><pre style="font-size: 8pt; line-height: 140%; margin: 0; "></pre></td>

    <th bgcolor="#b1ebb0" style="border-left: 1px solid #C0C0C0; border-right: 1px solid #C0C0C0;" align="right"><font size="2">93</font></th>

    <td bgcolor="#c5ffc4" width="50%"><pre style="font-size: 8pt; line-height: 140%; margin: 0; "><span class="k">static</span> <span class="n">QByteArray</span> <span class="n">QString2UnicodeLE</span><span class="p">(</span><span class="k">const</span> <span class="n">QString</span> <span class="o">&</span><span class="n">target</span><span class="p">)</span></pre></td>

  </tr>

 </tbody>

</table>

  <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">Maybe this can be optimized on little endian platforms? Not sure if it's worth having two code paths though; depends on the typical string length I guess.

Something like 

#if Q_BYTE_ORDER == Q_LITTLE_ENDIAN

   memcpy(unicode.data(), target.unicode(), target.length() * 2);

#else

   // current code

#endif</pre>

 </blockquote>

</blockquote>

<pre style="margin-left: 1em; white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">The strings handled here are short (usernames, passwords or domain names). I don't think it's worth the extra complexity.</p></pre>

<br />

<p>- Krzysztof</p>

<br />

<p>On February 5th, 2016, 12:17 p.m. CET, Krzysztof Nowicki wrote:</p>

<table bgcolor="#fefadf" width="100%" cellspacing="0" cellpadding="12" style="border: 1px #888a85 solid; border-radius: 6px; -moz-border-radius: 6px; -webkit-border-radius: 6px;">

 <tr>

  <td>

<div>Review request for KDE Frameworks and Dawit Alemayehu.</div>

<div>By Krzysztof Nowicki.</div>

<p style="color: grey;"><i>Updated Feb. 5, 2016, 12:17 p.m.</i></p>

<div style="margin-top: 1.5em;">

 <b style="color: #575012; font-size: 10pt;">Repository: </b>

kio

</div>

<h1 style="color: #575012; font-size: 10pt; margin-top: 1.5em;">Description </h1>

 <table width="100%" bgcolor="#ffffff" cellspacing="0" cellpadding="10" style="border: 1px solid #b8b5a0">

 <tr>

  <td>

   <pre style="margin: 0; padding: 0; white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">Some IIS servers seem to be configured to reject NTLMv1 authentication by refusing to reply to a NTLM stage 1 if the NTLMv2 flag is not set. If such a thing happens try to send another stage 1 message with the NTLMv2 flag set and if the server accepts this continue with NTLMv2.</p>

<p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">This also fixes invese logic when determining if the authentication needs a password (it needs it during stage 3 response and not stage 1).</p>

<p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">As a bonus this includes a test case for verifying NTLMv2 authentication and a fix for one of the existing test cases which contained wrong expected data (the expected response was generated without use of username and password due to the inverse logic bug above).</p></pre>

  </td>

 </tr>

</table>

<h1 style="color: #575012; font-size: 10pt; margin-top: 1.5em;">Testing </h1>

<table width="100%" bgcolor="#ffffff" cellspacing="0" cellpadding="10" style="border: 1px solid #b8b5a0">

 <tr>

  <td>

   <pre style="margin: 0; padding: 0; white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;"><p style="padding: 0;text-rendering: inherit;margin: 0;line-height: inherit;white-space: inherit;">Tested on an IIS 7.5 server with NTLMv1 blacklisted. Additionally executed automatic tests without regressions.</p></pre>

  </td>

 </tr>

</table>

<h1 style="color: #575012; font-size: 10pt; margin-top: 1.5em;">Diffs</b> </h1>

<ul style="margin-left: 3em; padding-left: 0;">

 <li>autotests/http/httpauthenticationtest.h <span style="color: grey">(35b822a0d400959d97e11473d48bc94352e8e5b3)</span></li>

 <li>autotests/http/httpauthenticationtest.cpp <span style="color: grey">(719f7a9856194003cfba52848e0a6c5ea6324531)</span></li>

 <li>src/ioslaves/http/httpauthentication.h <span style="color: grey">(a74565e253ad489fed6c82116c72244386ebaaf2)</span></li>

 <li>src/ioslaves/http/httpauthentication.cpp <span style="color: grey">(dcc86c276fa4422fb08904b5cf6d3d2db6bb4c0d)</span></li>

 <li>src/kntlm/kntlm.cpp <span style="color: grey">(ed6f3881f3dfd0b78069368db22f7cd865261738)</span></li>

</ul>

<p><a href="https://git.reviewboard.kde.org/r/126990/diff/" style="margin-left: 3em;">View Diff</a></p>

  </td>

 </tr>

</table>

  </div>

 </body>

</html>