Jump to content
Froxlor Forum
  • 0
rickstinson

mysql / Userdatenbank unverschlüsselte Passwörter

Question

Hallo,
mir ist aufgefallen, dass in der mail_users Tabelle die Passwörter der Benutzer einerseits in Klartext(password) und andererseits in gehashed (password_enc).

Dovecot läuft ja mit password_enc, das passt ja soweit, aber pure/pro FTP + libnss-mysql  rufen das plaintext password aus der froxlor Datenbank aus.

So nehme ich an, derzeit kommen wir nicht darum rum passwörter in plaintext in der Datenbank zu speichern, oder?
Ist da für die Zukunkft eine Änderung geplant,... in Sachen DSGVO und Datensicherheit sind Plaintext Passwörter in einer Datenbank schon knapp fahrlässig ?

LG Patrick

Share this post


Link to post
Share on other sites

5 answers to this question

Recommended Posts

  • 0
23 minutes ago, rickstinson said:

Dovecot läuft ja mit password_enc, das passt ja soweit, aber pure/pro FTP + libnss-mysql  rufen das plaintext password aus der froxlor Datenbank aus.

Mail user haben nix mit FTP User zu tun, da gibt's keine plaintext Passwörter. Für Mail Konten ist/war das für bestimmte Konfigurationen/Situationen notwendig, du kannst in den Einstellungen das Speichern von Klartext Passwörter einfach deaktivieren, bzw. Als Admin links im Menü (aktuelle git version) auch alle löschen und deaktivieren. Sonst in den Einstellungen deaktivieren und in der Tabelle manuell leeren, die automatische Leerung ist irgendwann im Menü mal verschwunden in irgend einer Version ;)

Share this post


Link to post
Share on other sites
  • 0

Warum steht dort "Aktivieren Sie diese Option nur, wenn Sie SASL nutzen"?

Ich nutze SASL und würde die Option gerne ausschalten. Geht das?

 

sasl-nutzen.png

Share this post


Link to post
Share on other sites
  • 0

Wenn du SASL über Dovecot authentifizierst, so ists auch in der konfigurationvorlage für postfix/dovecot bei froxlor hinterlegt, kannst du die Option abschalten.
Beim abschalten der Option wird im übrigen eh nichts gelöscht, die klartextpasswörter musst du händisch aus der tabelle löschen.

Ich habs bei mir so getestet:
- Option abschalten
- neues Postfach anlegen (das wird dann ohne klartextpasswort angelegt)
- Testen ob man E-Mails versenden kann.
 

Share this post


Link to post
Share on other sites
  • 0
17 minutes ago, rickstinson said:

Beim abschalten der Option wird im übrigen eh nichts gelöscht, die klartextpasswörter musst du händisch aus der tabelle löschen.

Ist in der aktuellen git version (wieder drin) der Menü Punkt

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...