Passwörter verschlüsseln

Guido 2020-05-30 05:00:52 UTC #1

Guten Morgen,
aus unserer Sicht wären noch folgende Ergänzung/Erweiterung sinnvoll:

Sicherheit: Speichern der Verbindungspasswörter in der Datenbank wäre verschlüsselt sehr sinnvoll.

Viele Grüße,
Guido

RalfBecker 2020-05-30 09:25:56 UTC #2

Hmm, das ist leider nicht so einfach …

Das Passwort wird zwar von EGroupware gespeichert, wenn Du unseren Dialog verwendest, es wird aber von Guacamole verwendet, auf deren Code wir keinen direkten Einfluss haben.

Das einzige was ich mir vorstellen könnte, wir binden einen Handler auf die Verbindung, der das Passwort in der Datenbank entschlüsselt und einen Job startet, der es nach x Sekunden wieder verschlüsselt. Auch nicht trivial, da ich bisher nicht rausfinden konnte wie die ID im DOM mit der ID der Verbindung zusammen hängt.

Ich persönlich würde das Passwort einfach nicht speichern. Falls das sowieso nur ein Workaround ist um Network Level Security einschalten zu können, da soll ja mit einer der übernächsten Guacamole Versionen ein Fix kommen, das Guacd (der Protokoll Proxy) das Passwort vor dem Verbindungsaufbau abfrägt.

Ralf

StefanU 2020-05-30 09:30:40 UTC #3

Ich persönlich: Auf keinen Fall bei Serversystemen oder Admin-Clients. Und besonders nicht mit Administrativen Konten!

Bei Otto-Normal-Anwender-Arbeitsplätzen sollte der Benutzer eh mit derart eingeschränkten Rechten unterwegs sein, dass da nicht all zu viel passieren kann.

Stefan

StefanU 2020-07-17 16:48:48 UTC #4

Nick erklärt dazu aktuell recht anschaulich:

http://mail-archives.apache.org/mod_mbox/guacamole-user/202007.mbox/<CAFjj601QykMnjmbzAsxf9vs7FzdnN03BNYZCMEvY3h3G36Mdyg%40mail.gmail.com>

Stefan