Debian 使用者名稱引發軒然大波（★ 59 分）

Debian 專案近期遭遇使用者名稱（username）設定上的問題，起因於兩個使用者建立工具useradd和adduser對於允許的字元集產生歧見。useradd工具來自shadow-utils套件，而adduser則是 Debian 專案自行維護的工具，長期以來因相容性考量而維持著與useradd不同的使用者名稱規則。

此問題的核心在於一個 Debian 專屬的修補程式（patch）被移除，該修補程式允許使用遠超出shadow-utils預設允許範圍的字元，包含大寫字母及純數字的使用者名稱。移除修補程式後，adduser的測試出現錯誤，引發 Debian 開發者針對使用者名稱的允許字元和長度進行討論。討論中，安全疑慮、鍵盤佈侷限制以及 Unicode 正規化形式（normalization form）等問題陸續浮出檯面。部分開發者主張允許 UTF-8 字元，以提升使用者體驗，但此舉可能導致同形異義字攻擊 (homograph attack) 的風險，且需要更多時間及資源來確保系統的穩定性與安全性。

經過一番討論與考量，Debian 決定在 Debian 13 版本中，adduser預設將拒絕 UTF-8 使用者名稱，僅在使用--allow-bad-names選項（未來將改名）時才允許，並將持續支援--allow-all-names選項直接將所有字元傳遞給useradd處理。此決策被認為在現階段是較為務實的作法，日後再評估擴展允許字元的可行性。

👥 61 則討論、評論 💬
https://news.ycombinator.com/item?id=42338134

pm 10:20:50

Peter

[sticker](media:AAMCAQADHQI9GfldAAEB-a9nUwhCcas77pY1dMxbrahD2AGcFwAC3wEAAgNOMUcwDUrI7iQiAgEAB20AAzYE@telegram)

pm 10:32:32