Security - Probleme in der Benutzerverwaltung
-
Hallo, bin auf zwei Security - Probleme in der Benutzerverwaltung gestoßen:
Passworte werden sowohl beim Anlegen eines Benutzers im Klartexxt angezeigt als auch beim Auflisten der Details eines Benutzers mit aufgelistet, auch das Admin-Passwort!!
Die Abhilfe ist einfach, anbei ein Patch für interessierte. Er bewirkt, dass das Passwort gar nicht mehr angezeigt wird (die entsprechende Tabellenspalte wird gelöscht) und, daß das Eingabefeld im Editier-Formular vom Typ Text auf den Typ Passwort umgestellt wird:
*** edit_user.html Wed Dec 15 18:46:18 2004 --- edit_user.html.sav Wed Dec 15 18:46:22 2004 *************** *** 32,38 **** {username}:<nobr>*</nobr> ! {password}:<nobr>*</nobr> {surname}:<nobr>*</nobr> --- 32,38 ---- {username}:<nobr>*</nobr> ! {password}:<nobr>*</nobr> {surname}:<nobr>*</nobr> *** show_user.html Wed Dec 15 18:47:01 2004 --- show_user.html.sav Wed Dec 15 18:47:04 2004 *************** *** 31,36 **** --- 31,39 ---- {username}:[username] + {password}:[password] + + {surname}:[surname]