Jump to content
Froxlor Forum
  • 0

mysql / Userdatenbank unverschlüsselte Passwörter


rickstinson

Question

Hallo,
mir ist aufgefallen, dass in der mail_users Tabelle die Passwörter der Benutzer einerseits in Klartext(password) und andererseits in gehashed (password_enc).

Dovecot läuft ja mit password_enc, das passt ja soweit, aber pure/pro FTP + libnss-mysql  rufen das plaintext password aus der froxlor Datenbank aus.

So nehme ich an, derzeit kommen wir nicht darum rum passwörter in plaintext in der Datenbank zu speichern, oder?
Ist da für die Zukunkft eine Änderung geplant,... in Sachen DSGVO und Datensicherheit sind Plaintext Passwörter in einer Datenbank schon knapp fahrlässig ?

LG Patrick

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

23 minutes ago, rickstinson said:

Dovecot läuft ja mit password_enc, das passt ja soweit, aber pure/pro FTP + libnss-mysql  rufen das plaintext password aus der froxlor Datenbank aus.

Mail user haben nix mit FTP User zu tun, da gibt's keine plaintext Passwörter. Für Mail Konten ist/war das für bestimmte Konfigurationen/Situationen notwendig, du kannst in den Einstellungen das Speichern von Klartext Passwörter einfach deaktivieren, bzw. Als Admin links im Menü (aktuelle git version) auch alle löschen und deaktivieren. Sonst in den Einstellungen deaktivieren und in der Tabelle manuell leeren, die automatische Leerung ist irgendwann im Menü mal verschwunden in irgend einer Version ;)

Link to comment
Share on other sites

Wenn du SASL über Dovecot authentifizierst, so ists auch in der konfigurationvorlage für postfix/dovecot bei froxlor hinterlegt, kannst du die Option abschalten.
Beim abschalten der Option wird im übrigen eh nichts gelöscht, die klartextpasswörter musst du händisch aus der tabelle löschen.

Ich habs bei mir so getestet:
- Option abschalten
- neues Postfach anlegen (das wird dann ohne klartextpasswort angelegt)
- Testen ob man E-Mails versenden kann.
 

Link to comment
Share on other sites

17 minutes ago, rickstinson said:

Beim abschalten der Option wird im übrigen eh nichts gelöscht, die klartextpasswörter musst du händisch aus der tabelle löschen.

Ist in der aktuellen git version (wieder drin) der Menü Punkt

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...