Mailman Sicherheitsrisiko
Hallo
Ich verwende seit einiger Zeit Mailman als Listenserver und bin damit
sehr zufrieden.
Nun hat sich jedoch ein Listenmitglied sehr darüber erbost, dass sein -
bei der Anmeldung - eingegebenes Passwort im Klartext per Mail
übermittelt wurde. Auf der Anmeldeseite wird allerdings explizit auf die
geringe Sicherheit des Passwortes hingewiesen und es soll ja auch
lediglich eine Zusatzfunktionalität bereitstellen. Nun hat das besagte
Listenmitglied dies anscheinend überlesen und sein wertvolles UNIX
Passwort dort eingegeben.
Er fordert mich nun auf einen Internet Sicherheitskurs zu besuchen und
Mailman sofort abzuschalten (bzw. die Passwortroutine) weil ich damit
unseren Server und alle Nutzer der Liste in Gefahr bringe. Ausserdem ist
er der Meinung ich übertrage die Verantwortung auf die Nutzer, die ja
dadurch die Möglichkeit bekommen wertvolle Passwörter einzugeben und
dann im Klartext zugeschickt bekommen.
Ich halte das für unrealistisch und bin der Meinung, dass die Nutzer
Ihre Passwörter genauso gut bei yahoo oder sonstwo im Klartext
zugeschickt bekommen. Sie können praktisch überall ihre wertvollen
Passörter eingeben und offenlegen.
Wenn man Nutzern keine Eigenverantwortung überlassen will, dann darf man
ihnen erst gar keinen Account geben.
Mich würde Eure Meinung dazu interessieren, stellt Mailman diesbezüglich
wirklich ein grobes Sicherheitsrisiko dar und gibt es dann Möglichkeiten
Mailman sicherer zu machen oder sollte man Mailman lieber gar nicht
verwenden und wieder good old Majordomo einschalten?
Mit freundlichen Grüsse
Mark Totzke
Reply to: