Hi Equinox,
keine Ahnung woher Du Deine Informationen beziehst:
EGroupware verwendet seit dem 1.8.004 Update vom 5. April 2012 keine md5
Hashs mehr als Vorgabe für neue Installationen.
Mit dem 1.8.004 Update haben wir auch eine automatische Migration auf
das sicherste auf dem System verfügbare Verfahren angestoßen.
Das war bei 1.8.004 sha256-crypt und ist seit 1.8.005 blowfish-crypt.
Das wird auch automatisch für neue Installationen verwendet.
Auszug das dem 1.8.004 Changelog:
egroupware (1.8.004.20120405) hardy; urgency=low
- SECURITY: fix for a XSS (cross-site-scripting) vulnerability, it is
recommended to update ASAP!
- REQUIRES TO VISIT SETUP for schema updates
- more secure password hashing types: sha512_crypt and sha256_crypt
- enable automatic migration to sha512_crypt if accounts in SQL or
LDAP (but only on Linux, as OpenLDAP has no native support for it)
EGroupware ist also nicht weit zurück sondern war deutlich vor den
meisten ähnlichen Projekten!
Ralf
Guten Tag,
das hier ist ein rein theoretischer Post der durch mein Studium inspiriert
wurde:
Im Status Quo von EGroupware werden die Passwörter lediglich per MD5
gehashed und in der Datenbank abgelegt. In Augen der Sicherheit ist das ein
ziemlich veraltetes Verfahren. Warum gibt es keine Verwendung von "salted"
oder sogar “peppered” Hashverfahren? Für die Benutzung des Unternehmens in
dem ich arbeite ist das gar nicht mal so relevant aber so wie ich das
mitbekommen habe wird EGroupware ja auch von recht großen
Unternehmen/Behörden genutzt. Warum ist in der hinsicht EGroupware so weit
zurück?
Grüße,
equinox
–
View this message in context: http://egroupware.219119.n3.nabble.com/Mehr-Sicherheit-fur-Passworter-in-Datenbank-tp3995588.html
Sent from the egroupware-german mailing list archive at Nabble.com.
Managing the Performance of Cloud-Based Applications
Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.
Read the Whitepaper.
http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk
egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german
–
Ralf Becker
Director Software Development
Stylite AG
Morschheimer Strasse 15 | Tel. +49 6352 70629 0
D-67292 Kirchheimbolanden | Fax. +49 6352 70629 30
Email: rb@stylite.de
www.stylite.de | www.egroupware.org
Managing Directors: Andre Keller | Ralf Becker | Gudrun Mueller
Chairman of the supervisory board: Prof. Dr. Birger Leon Kropshofer
VAT DE214280951 | Registered HRB 31158 Kaiserslautern Germany
Managing the Performance of Cloud-Based Applications
Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.
Read the Whitepaper.
http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk
egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german