s9y speichert Passworte auch unverschlüsselt
s9y speichert Passworte auch unverschlüsselt
Hallo. Hab mir mit phpMyAdmin die Datenbanktabellen meiner s9y-Installation angeguckt, und dabei ist mir nen Sicherheitsproblem aufgefallen. Jedenfalls denke ich mir, daß das so nicht beabsichtigt ist. In der Tabelle serendipity_authors wird im Feld password das Paßwort eines Autors als Hash gespeichert. In der Tabelle serendipity_config wird es im Zusammenhang mit Paßwort / Altes Paßwort auch noch zwei Mal gespeichert, allerdings im Klartext. Im Feld name steht password bzw. check_password, und in value dann das alte / aktuelle Paßwort im Klartext.
Die Zukunft war gestern, heute ist Übermorgen.
-
garvinhicking
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Re: s9y speichert Passworte auch unverschlüsselt
Hi jenzo!
Danke für den Hinweis! Jannis sagte mir das gestern auch schon, da hatte ich keine Zeit wirklich nachzuschauen.
Ich denke ich habe den Fehler gefunden und behoben:
http://svn.berlios.de/viewcvs/serendipi ... 9&view=rev
Vielleicht kannst Du den Patch ausprobieren und schauen ob nun das Passwort nicht mehr gespeichert wird?
Viele Grüße,
Garvin
Danke für den Hinweis! Jannis sagte mir das gestern auch schon, da hatte ich keine Zeit wirklich nachzuschauen.
Ich denke ich habe den Fehler gefunden und behoben:
http://svn.berlios.de/viewcvs/serendipi ... 9&view=rev
Vielleicht kannst Du den Patch ausprobieren und schauen ob nun das Passwort nicht mehr gespeichert wird?
Viele Grüße,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
Re: s9y speichert Passworte auch unverschlüsselt
Hey, vielen Dank für die schnelle Reaktion. 
Yupp, der Patch löst das Problem: Sobald ein Autor sein Paßwort ändert, werden password und check_password aus serendipity_config gelöscht. Gibt aber noch nen weiteres klitzekleines Problemchen mit serendipity_config: Wenn ich einen Autor lösche, werden seine Konfigurationseinstellungen nicht aus der Tabelle gelöscht. Nicht daß es wichtig wäre, aber vielleicht ne Beobachtung die euch anderweitig mal nützlich sein könnte... Fände es übrigens konsistenter, wenn diese Konfigurationseinstellungen in serendipity_authors stehen würden, weiß jetzt aber natürlich nicht, ob das anderweitig mit dem programmiererischen Design von s9y kollidieren würde.
Yupp, der Patch löst das Problem: Sobald ein Autor sein Paßwort ändert, werden password und check_password aus serendipity_config gelöscht. Gibt aber noch nen weiteres klitzekleines Problemchen mit serendipity_config: Wenn ich einen Autor lösche, werden seine Konfigurationseinstellungen nicht aus der Tabelle gelöscht. Nicht daß es wichtig wäre, aber vielleicht ne Beobachtung die euch anderweitig mal nützlich sein könnte... Fände es übrigens konsistenter, wenn diese Konfigurationseinstellungen in serendipity_authors stehen würden, weiß jetzt aber natürlich nicht, ob das anderweitig mit dem programmiererischen Design von s9y kollidieren würde.Die Zukunft war gestern, heute ist Übermorgen.
-
garvinhicking
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Re: s9y speichert Passworte auch unverschlüsselt
Hi!
Super, danke für den Hinweis. Ich werde es im Snapshot noch weiter beobachten und wenn es keine Probleme gibt auch für die kommende 1.1.1 einstellen.
Beim löschen geht s9y oft davon aus, nicht unbedingt alle Daten rauszulöschen, weil sich in der Vergangenheit immer mal gezeigt hat dass Leute noch Daten widerherstellen wollen. Daher bin ich da etwas in der Zwickmühle; einserseits hat das fehlende Löschen solcher Daten manchen schon den Kragen gerettet, andererseits sind die Daten dann natürlich eigentlich überflüssig....
Die Daten stehen übrigens in der config-Tabelle, weil sonst die Author-Tabelle bei jeder neuen Option geändert werden müsste und irgendwann 50 Spalten aufweisen würde; das wäre sehr inperformant und überhaupt nicht erweiterungsfähig.
Viele Grüße,
Garvin
Super, danke für den Hinweis. Ich werde es im Snapshot noch weiter beobachten und wenn es keine Probleme gibt auch für die kommende 1.1.1 einstellen.
Beim löschen geht s9y oft davon aus, nicht unbedingt alle Daten rauszulöschen, weil sich in der Vergangenheit immer mal gezeigt hat dass Leute noch Daten widerherstellen wollen. Daher bin ich da etwas in der Zwickmühle; einserseits hat das fehlende Löschen solcher Daten manchen schon den Kragen gerettet, andererseits sind die Daten dann natürlich eigentlich überflüssig....
Die Daten stehen übrigens in der config-Tabelle, weil sonst die Author-Tabelle bei jeder neuen Option geändert werden müsste und irgendwann 50 Spalten aufweisen würde; das wäre sehr inperformant und überhaupt nicht erweiterungsfähig.
Viele Grüße,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
Re: s9y speichert Passworte auch unverschlüsselt
Hi garvin!
Greetz & paß auf deine Schnürsenkel auf...
So hab ich's noch nicht betrachtet, is nen Argument! Lieber praktikabel nützlich als theoretisch ok.Daher bin ich da etwas in der Zwickmühle; einserseits hat das fehlende Löschen solcher Daten manchen schon den Kragen gerettet, andererseits sind die Daten dann natürlich eigentlich überflüssig....
Ok, kapiert.Die Daten stehen übrigens in der config-Tabelle, weil sonst die Author-Tabelle bei jeder neuen Option geändert werden müsste und irgendwann 50 Spalten aufweisen würde; das wäre sehr inperformant und überhaupt nicht erweiterungsfähig.
Greetz & paß auf deine Schnürsenkel auf...
Die Zukunft war gestern, heute ist Übermorgen.