Re: Mailman Sicherheitsrisiko

[Michael Ablassmeier <michael.ablassmeier@holzkirchen.by.aok.de>]

hi,

On Tue, Feb 11, 2003 at 02:57:22PM +0100, Mark Totzke wrote:
> Nun hat sich jedoch ein Listenmitglied sehr darüber erbost, dass sein -
> bei der Anmeldung - eingegebenes Passwort im Klartext per Mail
> übermittelt wurde. Auf der Anmeldeseite wird allerdings explizit auf die
> geringe Sicherheit des Passwortes hingewiesen und es soll ja auch
> lediglich eine Zusatzfunktionalität bereitstellen. Nun hat das besagte
> Listenmitglied dies anscheinend überlesen und sein wertvolles UNIX
> Passwort dort eingegeben.

lol (mehr fällt mir dazu nicht ein)

> Er fordert mich nun auf einen Internet Sicherheitskurs zu besuchen und
> Mailman sofort abzuschalten (bzw. die Passwortroutine) weil ich damit
> unseren Server und alle Nutzer der Liste in Gefahr bringe. Ausserdem ist
> er der Meinung ich übertrage die Verantwortung auf die Nutzer, die ja
> dadurch die Möglichkeit bekommen wertvolle Passwörter einzugeben und
> dann im Klartext zugeschickt bekommen.

Jeder trägt doch über sein wertvolles Passwort selber die Verantwortung,
wieso also desswegen dich anflamen ?
Vorallem: wer ist schon so blöd und verwendet das Systempasswort für
eine Mailingliste ?
Das das ganze im Klartext verschickt wird ist nicht toll, klar, aber dabei
könnte PGP (GnuPG) Abhilfe schaffen. 

> Ich halte das für unrealistisch und bin der Meinung, dass die Nutzer
> Ihre Passwörter genauso gut bei yahoo oder sonstwo im Klartext
> zugeschickt bekommen. Sie können praktisch überall ihre wertvollen
> Passörter eingeben und offenlegen.

Ack.

> Wenn man Nutzern keine Eigenverantwortung überlassen will, dann darf man
> ihnen erst gar keinen Account geben.

Ack.
-- 
regards /*/ michael ablassmeier