Re: Mailman Sicherheitsrisiko

To: debian-user-german@lists.debian.org
Subject: Re: Mailman Sicherheitsrisiko
From: Sven Hoexter <sven@telelev.net>
Date: Tue, 11 Feb 2003 16:08:46 +0100
Message-id: <[🔎] 20030211150846.GA10920@arthur.home.hoaxter.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 1044971842.6579.49.camel@gandalf.localdomain>
References: <[🔎] 1044971842.6579.49.camel@gandalf.localdomain>

On Tue, Feb 11, 2003 at 02:57:22PM +0100, Mark Totzke wrote:

Hi,

> Ich verwende seit einiger Zeit Mailman als Listenserver und bin damit
> sehr zufrieden.
War ich auch. Wuerde Mailman sofern ich Bedarf dafuer haette auch sofort
wieder nehmen.

> Nun hat sich jedoch ein Listenmitglied sehr dar?ber erbost, dass sein -
> bei der Anmeldung - eingegebenes Passwort im Klartext per Mail
> ?bermittelt wurde.
Oh nein wie schrecklich, schreib ihm das die Passwoerter auch
unverschluesselt auf Deinem Server liegen und Du sie jederzeit auslesen
kannst.

> Auf der Anmeldeseite wird allerdings explizit auf die
> geringe Sicherheit des Passwortes hingewiesen und es soll ja auch
> lediglich eine Zusatzfunktionalit?t bereitstellen. Nun hat das besagte
> Listenmitglied dies anscheinend ?berlesen und sein wertvolles UNIX
> Passwort dort eingegeben.
*g*

> Er fordert mich nun auf einen Internet Sicherheitskurs zu besuchen
Schlage ihm selbiges vor. Ach ja und er soll sich mal damit beschaeftigen
wie sinvoll es ist ein Passwort mehrfach zu verweden und dann aucn noch
fuer mehr als einen Dienst. Der jenige gehoert eigentlich auf den
Scheiterhaufen ;)

> er der Meinung ich ?bertrage die Verantwortung auf die Nutzer, die ja
> dadurch die M?glichkeit bekommen wertvolle Passw?rter einzugeben und
> dann im Klartext zugeschickt bekommen.
*rotflmao* selten soooo viel Bullshit gehoert :)
 
> Mich w?rde Eure Meinung dazu interessieren, stellt Mailman diesbez?glich
> wirklich ein grobes Sicherheitsrisiko dar und gibt es dann M?glichkeiten
> Mailman sicherer zu machen oder sollte man Mailman lieber gar nicht
> verwenden und wieder good old Majordomo einschalten?
Majordomo ist AFAIK nicht mit den DFSG zu vereinbaren faellt also weg.
Davon abgesehen gibt es schlimmeres und wer die Hinweise nicht liest und
den Schuss nicht gehoert hat dem ist nicht mehr zu helfen. Das ganze auch
noch als gewolltes social engineering hin zu stellen ist quasi die Kroenung.
Das er sich in dem Zusammenhang noch keine Sorgen darueber gemacht hat das
sein Passwort unverschluesselt von seinem Browser aus an den Server gesendet
wird ist auch noch so ein Wunder fuer sich und spricht fuer den  nicht sehr
grossen Blickwinkel des Betrachters.

Also wenn Du langeweile hast wuerde ich ihm eine Anwort auf BAfH level schicken,
ansonsten ignorieren und ab nach .procmail/blacklist mit der email addresse.

Sven

Reply to:

References:
- Mailman Sicherheitsrisiko
  - From: fungur@t-online.de (Mark Totzke)

Prev by Date: Re: A little OT: Evo mit gmx verwenden
Next by Date: Re: Mailman Sicherheitsrisiko
Previous by thread: Mailman Sicherheitsrisiko
Next by thread: Re: Mailman Sicherheitsrisiko
Index(es):
- Date
- Thread