[OSM-Berlin] Security warning berlin at lists.openstreetmap.de / "christian at henkelinberlin.de"

Frederik Ramm frederik at remote.org
Fr Dez 27 12:58:16 CET 2013


Hi,

On 27.12.2013 10:35, Tobias Conradi wrote:
>> http://blog.tigertech.net/posts/mailman-monthly-password-reminders-not-recommended/
>> Wenn ich das richtig verstehe kann man den Versand von Passwörtern abstellen.

> Das durch den Server zu entschluesselnde Speichern bzw
> Klartext-Speichern zu unterbinden wäre meine Empfehlung.

Man braucht kein Password anzugeben, um sich bei einer Mailman-Liste
anzumelden. Ich hab das noch nie gemacht.

Dann generiert Mailman intern ein Zufallspassword und schickt es einem
zu. Dieses Password hat keinen Informationsgehalt (man kann damit nicht
meine diversen anderen Accounts knacken, weil es eben halt zufaellig
generiert ist). Was man damit machen kann, ist, mich bei der Liste
abzumelden, oder das (ohnehin oeffentliche) Archiv der Liste einzusehen,
oder die Mitgliederliste einzusehen - dies ist nur Mitgliedern moeglich,
aber da jeder X-beliebige innerhalb von Sekunden Mitglied werden kann,
ist auch das kein Sicherheitsrisiko.

Das einzige Risiko, das hier existiert, ist, wenn jemand auf der
Signup-Seite den Text "Verwenden Sie kein wertvolles Passwort, da es ab
und zu im Klartext an Sie geschickt wird! " ignoriert hat und seine
Online-Banking-PIN oder sowas als Password gesetzt hat.

Die Admins der einzelnen Mailinglisten koennen die bei Mailman im
Klartext gespeicherten Passwoerter nicht lesen. Das koennen nur die
FOSSGIS-Admins, die den Rechner verwalten, auf dem Mailman laeuft (oder
solche, die diesen Rechner vielleicht gehackt haben...).

Wenn Du aus Versehen ein wertvolles Password eingestellt hast, kannst Du
Dich beim Mailman einloggen und es aendern.

Bye
Frederik

-- 
Frederik Ramm  ##  eMail frederik at remote.org  ##  N49°00'09" E008°23'33"