[Metalab] nanolack ... die zweite,
Martin Schürrer
martin at schuerrer.org
Mon Apr 23 23:14:43 CEST 2012
Ich kenne mich nicht mit ISP Software aus, aber in ein File das
offensichtlich manuell bearbeitet wird plaintext Passwörter zu speichern
ist inakzeptabel für einen ISP.
Die PWs symmetrisch zu verschlüsseln würde z.B. das Problem das wir hier
diskutieren gelöst haben.
Cheers,
Martin
2012/4/23 Michael Lausch <mla at lausch.at>
> Naja. Bein den herkömlichen auth methoden, z.b. CHAP, braucht man das
> plaintext Passwort. Und das Passwort symmetrisch verschlüsselt zu speichern
> hat das Problem dass der Schlüssel auch nicht schwieriger zu klauen ist,
> als die Datenbank.
> Ein textfile für die Radius auth zu nehmen ist ungeschickt und
> wartungsintensiv.
>
>
> Martin Schürrer <martin at schuerrer.org> wrote:
>
> Weil ich privat gefragt wurde ob es wirklich nötig sei die User von ACW zu
> informieren:
>
> Ja, dass er das File geschickt hat sehe ich nicht als das Problem.
>
> Das Problem ist, a) dass der Provider die Passwörter im plaintext
> speichert, b) dass diese Passwörter in einem File das offensichtlich von
> Menschen gelesen/geändert wird stehen.
>
> Darüber muss man die User informieren, sie haben IMO ein Recht das zu
> erfahren.
>
> Generell sollte man solche Sicherheitsprobleme nicht einfach verharmlosen.
> Ist bisschen inkonsequent wenn ansonsten "der typische Metalaber" gegen VDS
> ist.
>
> Also hat schon jemand den Usern geschrieben?
>
> Cheers,
> Martin
>
> 2012/4/23 overflo <flo at tekstix.com>
>
>> ach.
>> du.
>> scheisse.
>>
>>
>> das könnt eine overflo aktion gewesen sein.
>>
>> :*
>> -flo
>>
>>
>> ______________________________**_________________
>> Metalab mailing list
>> Metalab at lists.metalab.at
>> https://lists.metalab.at/**mailman/listinfo/metalab<https://lists.metalab.at/mailman/listinfo/metalab>
>>
>
>
> _______________________________________________
> Metalab mailing list
> Metalab at lists.metalab.at
> https://lists.metalab.at/mailman/listinfo/metalab
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20120423/1d9ffccc/attachment.html>
More information about the Metalab
mailing list