<div class="gmail_extra">Ich kenne mich nicht mit ISP Software aus, aber in ein File das offensichtlich manuell bearbeitet wird plaintext Passwörter zu speichern ist inakzeptabel für einen ISP.</div><div class="gmail_extra">
<br></div><div class="gmail_extra">Die PWs symmetrisch zu verschlüsseln würde z.B. das Problem das wir hier diskutieren gelöst haben.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Cheers,</div><div class="gmail_extra">
Martin</div><div class="gmail_extra"><br><div class="gmail_quote">2012/4/23 Michael Lausch <span dir="ltr"><<a href="mailto:mla@lausch.at" target="_blank">mla@lausch.at</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Naja. Bein den herkömlichen auth methoden, z.b. CHAP, braucht man das plaintext Passwort. Und das Passwort symmetrisch verschlüsselt zu speichern hat das Problem dass der Schlüssel auch nicht schwieriger zu klauen ist, als die Datenbank. <br>
Ein textfile für die Radius auth zu nehmen ist ungeschickt und wartungsintensiv.<div><br><br>Martin Schürrer <<a href="mailto:martin@schuerrer.org" target="_blank">martin@schuerrer.org</a>> wrote:<br><br>
<div class="gmail_extra">Weil ich privat gefragt wurde ob es wirklich nötig sei die User von ACW zu informieren:</div><div class="gmail_extra"><br></div></div><div class="gmail_extra"><div><div class="gmail_extra">
Ja, dass er das File geschickt hat sehe ich nicht als das Problem.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">Das Problem ist, a) dass der Provider die Passwörter im plaintext speichert, b) dass diese Passwörter in einem File das offensichtlich von Menschen gelesen/geändert wird stehen.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">Darüber muss man die User informieren, sie haben IMO ein Recht das zu erfahren.</div><div class="gmail_extra"><br></div></div><div><div class="gmail_extra">
Generell sollte man solche Sicherheitsprobleme nicht einfach verharmlosen. Ist bisschen inkonsequent wenn ansonsten "der typische Metalaber" gegen VDS ist.</div><div class="gmail_extra"><br></div></div><div>
<div class="gmail_extra">
Also hat schon jemand den Usern geschrieben?</div><div class="gmail_extra"><br></div></div><div class="gmail_extra">Cheers,</div><div class="gmail_extra">Martin</div><br><div class="gmail_quote">2012/4/23 overflo <span dir="ltr"><<a href="mailto:flo@tekstix.com" target="_blank">flo@tekstix.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>ach.<br>
du.<br>
scheisse.<br>
<br>
<br>
das könnt eine overflo aktion gewesen sein.<br>
<br></div><div>
:*<br>
-flo<div><div><br>
<br>
______________________________<u></u>_________________<br>
Metalab mailing list<br>
<a href="mailto:Metalab@lists.metalab.at" target="_blank">Metalab@lists.metalab.at</a><br>
<a href="https://lists.metalab.at/mailman/listinfo/metalab" target="_blank">https://lists.metalab.at/<u></u>mailman/listinfo/metalab</a><br>
</div></div></div></blockquote></div><br></div>
<br>_______________________________________________<br>
Metalab mailing list<br>
<a href="mailto:Metalab@lists.metalab.at" target="_blank">Metalab@lists.metalab.at</a><br>
<a href="https://lists.metalab.at/mailman/listinfo/metalab" target="_blank">https://lists.metalab.at/mailman/listinfo/metalab</a><br>
<br></blockquote></div><br></div>