Page 1 of 1

s9y speichert Passworte auch unverschlüsselt

Posted: Wed Feb 14, 2007 2:58 pm
by jenzo
Hallo. Hab mir mit phpMyAdmin die Datenbanktabellen meiner s9y-Installation angeguckt, und dabei ist mir nen Sicherheitsproblem aufgefallen. Jedenfalls denke ich mir, daß das so nicht beabsichtigt ist. In der Tabelle serendipity_authors wird im Feld password das Paßwort eines Autors als Hash gespeichert. In der Tabelle serendipity_config wird es im Zusammenhang mit Paßwort / Altes Paßwort auch noch zwei Mal gespeichert, allerdings im Klartext. Im Feld name steht password bzw. check_password, und in value dann das alte / aktuelle Paßwort im Klartext.

Re: s9y speichert Passworte auch unverschlüsselt

Posted: Wed Feb 14, 2007 3:07 pm
by garvinhicking
Hi jenzo!

Danke für den Hinweis! Jannis sagte mir das gestern auch schon, da hatte ich keine Zeit wirklich nachzuschauen.

Ich denke ich habe den Fehler gefunden und behoben:

http://svn.berlios.de/viewcvs/serendipi ... 9&view=rev

Vielleicht kannst Du den Patch ausprobieren und schauen ob nun das Passwort nicht mehr gespeichert wird?

Viele Grüße,
Garvin

Re: s9y speichert Passworte auch unverschlüsselt

Posted: Wed Feb 14, 2007 4:46 pm
by jenzo
Hey, vielen Dank für die schnelle Reaktion. :D Yupp, der Patch löst das Problem: Sobald ein Autor sein Paßwort ändert, werden password und check_password aus serendipity_config gelöscht. Gibt aber noch nen weiteres klitzekleines Problemchen mit serendipity_config: Wenn ich einen Autor lösche, werden seine Konfigurationseinstellungen nicht aus der Tabelle gelöscht. Nicht daß es wichtig wäre, aber vielleicht ne Beobachtung die euch anderweitig mal nützlich sein könnte... Fände es übrigens konsistenter, wenn diese Konfigurationseinstellungen in serendipity_authors stehen würden, weiß jetzt aber natürlich nicht, ob das anderweitig mit dem programmiererischen Design von s9y kollidieren würde.

Re: s9y speichert Passworte auch unverschlüsselt

Posted: Thu Feb 15, 2007 9:28 am
by garvinhicking
Hi!

Super, danke für den Hinweis. Ich werde es im Snapshot noch weiter beobachten und wenn es keine Probleme gibt auch für die kommende 1.1.1 einstellen.

Beim löschen geht s9y oft davon aus, nicht unbedingt alle Daten rauszulöschen, weil sich in der Vergangenheit immer mal gezeigt hat dass Leute noch Daten widerherstellen wollen. Daher bin ich da etwas in der Zwickmühle; einserseits hat das fehlende Löschen solcher Daten manchen schon den Kragen gerettet, andererseits sind die Daten dann natürlich eigentlich überflüssig....

Die Daten stehen übrigens in der config-Tabelle, weil sonst die Author-Tabelle bei jeder neuen Option geändert werden müsste und irgendwann 50 Spalten aufweisen würde; das wäre sehr inperformant und überhaupt nicht erweiterungsfähig.

Viele Grüße,
Garvin

Re: s9y speichert Passworte auch unverschlüsselt

Posted: Thu Feb 15, 2007 1:23 pm
by jenzo
Hi garvin!
Daher bin ich da etwas in der Zwickmühle; einserseits hat das fehlende Löschen solcher Daten manchen schon den Kragen gerettet, andererseits sind die Daten dann natürlich eigentlich überflüssig....
So hab ich's noch nicht betrachtet, is nen Argument! Lieber praktikabel nützlich als theoretisch ok.
Die Daten stehen übrigens in der config-Tabelle, weil sonst die Author-Tabelle bei jeder neuen Option geändert werden müsste und irgendwann 50 Spalten aufweisen würde; das wäre sehr inperformant und überhaupt nicht erweiterungsfähig.
Ok, kapiert.

Greetz & paß auf deine Schnürsenkel auf... :wink: