Bonjour,
dans le même genre, également un peu gênant : si un utilisateur se
trompe de mot de passe en faisant une synchro (iphone, Thunderbird...)
le mauvais mot de passe apparait en clair dans les logs obm-sync. C'est
moins grave que le vrai mot de passe, mais ça peut quand même donner des
indications, voir un mot de passe valide sur d'autres systèmes.
Bien cordialement,
Nicolas Schmitz
Pascal MIETLICKI a écrit :
Bonjour à tous,
Afin d'intégrer la suite OBM avec notre annuaire d'entreprise, nous
avons fait le choix d'utiliser lemonLDAP.
Nous avons remarqué que, par défaut, les mots de passe étaient stockés
en clair dans la base. Nous avons corrigé ce problème via le
paramétrage (dans /etc/obm/obm_conf.inc) en y mettant "MD5SUM" :
*"userobm_password_type" => "MD5SUM"
$password_encryption = "MD5SUM";*
Ce stockage de mot de passe dans la base (alimentée automatiquement
via le connecteur) est nécessaire notamment pour la synchronisation
des clients d'agenda (lightning pour thunderbird) et des PDA.
Cependant, nous avons remarqué que les mots de passe s'affiche
toujours en clair dans les fichiers de log lorsque debug_level est à
"DEBUG" ce qui est le cas par défaut (toujours dans
/etc/obm/obm_conf.inc). On voit donc les mots de passe des
utilisateurs se connectant en clair dans /var/log/apache2/error.log.
Ces mots de passe s'affichent en clair pour la simple et bonne raison
que le mode debug affiche tous les entêtes HTTP configurés via le
manager de lemonLDAP. Il n'y a donc aucune distinction native entre un
entête non "sensible" tel que l'UID ou l'entête de mot de passe.
Nous avons, bien entendu, modifié ce paramétrage dans notre fichier de
conf. Mais cela représente pour nous un point critique, nous ne
voulons en effet absolument pas qu'un administrateur de notre système
ait la possibilité de découvrir les mots de passe de nos utilisateurs
en changeant ce paramétrage.
Avez-vous déjà été confronté à ce problème et avez-vous trouvé une
solution?
La seule solution que nous envisageons est de modifier les fichiers
sources du connecteur afin de verrouiller ce paramètre en empêchant ce
mode debug. Mais nous aimerions que cette modification soit pérenne.
Croyez-vous que nous devrions ouvrir un bug chez obm?
En vous remerciant par avance pour toute l'aide et informations que
vous pourrez nous apporter.
Cordialement,
--
Pascal MIETLICKI
_______________________________________________
Obm mailing list
[email protected]
http://list.obm.org/mailman/listinfo/obm
--
Nicolas Schmitz
================================
Ecole Normale Supérieure de Lyon
Direction des Systèmes d'Information
15, Parvis René-Descartes
69342 LYON Cedex 07.
Tél : 04 72 72 83 50
_______________________________________________
Obm mailing list
[email protected]
http://list.obm.org/mailman/listinfo/obm
