On Tue, Feb 11, 2003 at 02:57:22PM +0100, Mark Totzke wrote: Hi,
> Ich verwende seit einiger Zeit Mailman als Listenserver und bin damit > sehr zufrieden. War ich auch. Wuerde Mailman sofern ich Bedarf dafuer haette auch sofort wieder nehmen. > Nun hat sich jedoch ein Listenmitglied sehr dar?ber erbost, dass sein - > bei der Anmeldung - eingegebenes Passwort im Klartext per Mail > ?bermittelt wurde. Oh nein wie schrecklich, schreib ihm das die Passwoerter auch unverschluesselt auf Deinem Server liegen und Du sie jederzeit auslesen kannst. > Auf der Anmeldeseite wird allerdings explizit auf die > geringe Sicherheit des Passwortes hingewiesen und es soll ja auch > lediglich eine Zusatzfunktionalit?t bereitstellen. Nun hat das besagte > Listenmitglied dies anscheinend ?berlesen und sein wertvolles UNIX > Passwort dort eingegeben. *g* > Er fordert mich nun auf einen Internet Sicherheitskurs zu besuchen Schlage ihm selbiges vor. Ach ja und er soll sich mal damit beschaeftigen wie sinvoll es ist ein Passwort mehrfach zu verweden und dann aucn noch fuer mehr als einen Dienst. Der jenige gehoert eigentlich auf den Scheiterhaufen ;) > er der Meinung ich ?bertrage die Verantwortung auf die Nutzer, die ja > dadurch die M?glichkeit bekommen wertvolle Passw?rter einzugeben und > dann im Klartext zugeschickt bekommen. *rotflmao* selten soooo viel Bullshit gehoert :) > Mich w?rde Eure Meinung dazu interessieren, stellt Mailman diesbez?glich > wirklich ein grobes Sicherheitsrisiko dar und gibt es dann M?glichkeiten > Mailman sicherer zu machen oder sollte man Mailman lieber gar nicht > verwenden und wieder good old Majordomo einschalten? Majordomo ist AFAIK nicht mit den DFSG zu vereinbaren faellt also weg. Davon abgesehen gibt es schlimmeres und wer die Hinweise nicht liest und den Schuss nicht gehoert hat dem ist nicht mehr zu helfen. Das ganze auch noch als gewolltes social engineering hin zu stellen ist quasi die Kroenung. Das er sich in dem Zusammenhang noch keine Sorgen darueber gemacht hat das sein Passwort unverschluesselt von seinem Browser aus an den Server gesendet wird ist auch noch so ein Wunder fuer sich und spricht fuer den nicht sehr grossen Blickwinkel des Betrachters. Also wenn Du langeweile hast wuerde ich ihm eine Anwort auf BAfH level schicken, ansonsten ignorieren und ab nach .procmail/blacklist mit der email addresse. Sven -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)