Re: Mailman Sicherheitsrisiko
hi,
On Tue, Feb 11, 2003 at 02:57:22PM +0100, Mark Totzke wrote:
> Nun hat sich jedoch ein Listenmitglied sehr darüber erbost, dass sein -
> bei der Anmeldung - eingegebenes Passwort im Klartext per Mail
> übermittelt wurde. Auf der Anmeldeseite wird allerdings explizit auf die
> geringe Sicherheit des Passwortes hingewiesen und es soll ja auch
> lediglich eine Zusatzfunktionalität bereitstellen. Nun hat das besagte
> Listenmitglied dies anscheinend überlesen und sein wertvolles UNIX
> Passwort dort eingegeben.
lol (mehr fällt mir dazu nicht ein)
> Er fordert mich nun auf einen Internet Sicherheitskurs zu besuchen und
> Mailman sofort abzuschalten (bzw. die Passwortroutine) weil ich damit
> unseren Server und alle Nutzer der Liste in Gefahr bringe. Ausserdem ist
> er der Meinung ich übertrage die Verantwortung auf die Nutzer, die ja
> dadurch die Möglichkeit bekommen wertvolle Passwörter einzugeben und
> dann im Klartext zugeschickt bekommen.
Jeder trägt doch über sein wertvolles Passwort selber die Verantwortung,
wieso also desswegen dich anflamen ?
Vorallem: wer ist schon so blöd und verwendet das Systempasswort für
eine Mailingliste ?
Das das ganze im Klartext verschickt wird ist nicht toll, klar, aber dabei
könnte PGP (GnuPG) Abhilfe schaffen.
> Ich halte das für unrealistisch und bin der Meinung, dass die Nutzer
> Ihre Passwörter genauso gut bei yahoo oder sonstwo im Klartext
> zugeschickt bekommen. Sie können praktisch überall ihre wertvollen
> Passörter eingeben und offenlegen.
Ack.
> Wenn man Nutzern keine Eigenverantwortung überlassen will, dann darf man
> ihnen erst gar keinen Account geben.
Ack.
--
regards /*/ michael ablassmeier
Reply to: