|
|
 | sqwebmail + vpopmail + authchkpw
Fra : Max Andersen |
Dato : 17-03-03 10:23 |
|
Hejsa,
jeg har prøvet at lege lidt med en qmail toaster og har fundet noget der ser
lidt skummelt ud......
alt virker fint, men ser lidt usikkert ud.
hvis jeg er logget ind som postmaster og højreklikker på en link der hedder
preferences og kopierer linket, lukker browseren ned og starter et nyt
vindue op på en anden maskine og kopierer den ind i browseren, så kommer jeg
ind med fulde rettigheder.
Burde der ikke være en session variabel eller noget andet der skulle sikre
at andre ikke kan gå ind på siden?
jeg ved godt at der er 'restrict from this ip only' , men det virker jo ikke
hvis folk sidder i et nattet netværk, hvor en hel koncern går ud med samme
ip, og din nabo sniffer din browsertrafik?
Nogen der har en løsning, eller har tænkt mere over det?
Max
| |
 Max Andersen (18-03-2003)
| Kommentar
Fra : Max Andersen |
Dato : 18-03-03 20:31 |
|
"Max Andersen" <max@militant.dk> wrote in message
news:3e7593df$0$210$edfadb0f@dread11.news.tele.dk...
Det lyder underligt at flere der sælger denne service til folk ikke har haft
denne tanke? Er det totalt useriøse folk der sælger denne service, eller er
der ingen der undersøger sikkerheden med det de kører, eller melder man det
ud til folk at det er usikkert i specielle miljøer?
Nogen MÅ da have sat spørgsmål tegn ved dette?!?
Max
| |
Soren Davidsen (18-03-2003)
| Kommentar
Fra : Soren Davidsen |
Dato : 18-03-03 21:17 |
|
"Max Andersen" <max@militant.dk> writes:
> "Max Andersen" <max@militant.dk> wrote in message
> news:3e7593df$0$210$edfadb0f@dread11.news.tele.dk...
>
> Det lyder underligt at flere der sælger denne service til folk ikke har haft
> denne tanke? Er det totalt useriøse folk der sælger denne service, eller er
> der ingen der undersøger sikkerheden med det de kører, eller melder man det
> ud til folk at det er usikkert i specielle miljøer?
>
> Nogen MÅ da have sat spørgsmål tegn ved dette?!?
Hvordan ser link'et ud, indeholder det et sessions id eller lign ?
Logger du ud af sqwebmail (og ender sessionen), eller lukker du bare
browseren ned ? Hvis du logger ud, funger linket saa ?
Har sqwebmail nogle settings/cronjobs til at fjerne 'doede' sessioner
hurtigere ?
Hvorfor bruger du ikke http://www.squirrelmail.org/ ? 
Mvh,
--
___
Soren Davidsen / o\
Math student, ICSMA (_____)
__ http://www.tanesha.net/ _________________________________(___)_______
| |
 Max Andersen (18-03-2003)
| Kommentar
Fra : Max Andersen |
Dato : 18-03-03 21:45 |
|
"Soren Davidsen" <soren-usenet200303@tanesha.net> wrote in message
news:87adfsbfav.fsf@tanesha.net...
>
> Hvordan ser link'et ud, indeholder det et sessions id eller lign ?
>
Det ser sådan her ud :
http://host.domæne.dk.dk/cgi-bin/sqwebmail/login/max%40host.domæne.dk.authvc
hkpw/F5C236A0370B524CAA248D735F0EAB24/1047988018?folder=INBOX&form=preferenc
es
> Logger du ud af sqwebmail (og ender sessionen), eller lukker du bare
> browseren ned ? Hvis du logger ud, funger linket saa ?
>
Hvis jeg logger ud, så er linket dødt, men hvis jeg sniffer netværket imens
min kollega er på, så kan jeg bruge linket i min browser til at komme ind på
hans e-mailkonto og ændre passwordet inden han når at logge af.
> Har sqwebmail nogle settings/cronjobs til at fjerne 'doede' sessioner
> hurtigere ?
>
Det handler ikke om hastighed, for folk kan ikke nå at læse deres mail,
inden jeg har sniffet og æn dret kodeord. det tager som regel under 1 minut.
> Hvorfor bruger du ikke http://www.squirrelmail.org/ ?
>
Den er både flottere og mere intuitiv, men jeg kunne ikke lige finde ud af
hvordan jeg sætter den op, da jeg bare kørte det andet i test. Men jeg
prøver på at se på sikkerheden inden jeg skifter, da jeg gerne vil have det
sikreste.
Bruger den ikke authchkpw eller andet der har samme problem? For så er det
da et forsøg værd.....Jeg er bare lidt rystet over usikkerheden i det her.
Findes der en 'toaster' der beskriver brugen af qmailadmin, vpopmail og
squirrelmail?
Max
| |
Soren Davidsen (19-03-2003)
| Kommentar
Fra : Soren Davidsen |
Dato : 19-03-03 08:30 |
|
"Max Andersen" <max@militant.dk> writes:
> "Soren Davidsen" <soren-usenet200303@tanesha.net> wrote in message
> news:87adfsbfav.fsf@tanesha.net...
> >
> > Hvordan ser link'et ud, indeholder det et sessions id eller lign ?
> >
>
> Det ser sådan her ud :
> http://host.domæne.dk.dk/cgi-bin/sqwebmail/login/max%40host.domæne.dk.authvc
> hkpw/F5C236A0370B524CAA248D735F0EAB24/1047988018?folder=INBOX&form=preferenc
> es
Jeg tror ikke at problemet har noget at goere med authvchkpw, men at
sqwebmail enkoder sin session i URL'en. Jeg tror ogsaa at dit problem
ville vaere det samme med andre webmail programmer som ikke tjekker paa
IP og hvor du sniffer brugerens sessions-ID og faar det puttet ind
i din browser paa en eller anden maade. Naar du sniffer er det jo i
princippet ligegyldigt om sessions-ID ligger i en URL eller i en
cookie header og hvor du saa selv skal genskabe request paa anden vis.
Hvad med at enforce https paa din webmail og at saette den 'from same
ip' til at vaere et hidden felt som altid er slaaet til ? Du har saa
stadig ret i at folk som har det samme eksterne ip som dig vil kunne
gaa hen til dig og skrive dit sessions ID ned, loebe over til sin
egen computer og taste det ind igen og dermed stjaele din session,
meeeeen ...
Jeg kender ioevrigt ikke lige nogen squirrelmail howto, men for mig
var det ret nemt at saette op; den bruger imap, saa man skal have
imap enabled i sit php setup og en imap server som kan tilgaaes fra
web-serveren.
Mvh,
--
___
Soren Davidsen / o\
Math student, ICSMA (_____)
__ http://www.tanesha.net/ _________________________________(___)_______
| |
Max Andersen (19-03-2003)
| Kommentar
Fra : Max Andersen |
Dato : 19-03-03 09:23 |
|
"Soren Davidsen" <soren-usenet200303@tanesha.net> wrote in message
news:87u1dzvmno.fsf@tanesha.net...
> "Max Andersen" <max@militant.dk> writes:
>
> Jeg tror ikke at problemet har noget at goere med authvchkpw, men at
> sqwebmail enkoder sin session i URL'en. Jeg tror ogsaa at dit problem
> ville vaere det samme med andre webmail programmer som ikke tjekker paa
> IP og hvor du sniffer brugerens sessions-ID og faar det puttet ind
> i din browser paa en eller anden maade. Naar du sniffer er det jo i
> princippet ligegyldigt om sessions-ID ligger i en URL eller i en
> cookie header og hvor du saa selv skal genskabe request paa anden vis.
>
Jeg kører normalt Novell Groupwise Webaccess, hvor den også bruger
ip-restrict, den kører også med https, og selvom jeg kopierer strengen, så
kan jeg ikke få adgang. Der må ligge mere bag, som jeg ikke ved af.....
> Hvad med at enforce https paa din webmail og at saette den 'from same
> ip' til at vaere et hidden felt som altid er slaaet til ? Du har saa
> stadig ret i at folk som har det samme eksterne ip som dig vil kunne
> gaa hen til dig og skrive dit sessions ID ned, loebe over til sin
> egen computer og taste det ind igen og dermed stjaele din session,
> meeeeen ...
https lyder som et krav i dette setup. du har ret.
> Jeg kender ioevrigt ikke lige nogen squirrelmail howto, men for mig
> var det ret nemt at saette op; den bruger imap, saa man skal have
> imap enabled i sit php setup og en imap server som kan tilgaaes fra
> web-serveren.
sqwebmail kræver ikke php, og jo flere features man lægger på et samlet
system jo mere skal man vedligeholde og sikre, så derfor ville det være rart
med så lidt som muligt.
Men jeg takker for dialogen, Søren.
Max
| |
Soren Davidsen (19-03-2003)
| Kommentar
Fra : Soren Davidsen |
Dato : 19-03-03 10:15 |
|
"Max Andersen" <max@militant.dk> writes:
[snip]
> Jeg kører normalt Novell Groupwise Webaccess, hvor den også bruger
> ip-restrict, den kører også med https, og selvom jeg kopierer strengen, så
> kan jeg ikke få adgang. Der må ligge mere bag, som jeg ikke ved af.....
Jeg mente at du skulle kopiere hele requestet (incl. headers), og ikke
'bare' url'en. Det goer det naturligvis lidt svaerere, men stadig muligt .
Mvh,
--
___
Soren Davidsen / o\
Math student, ICSMA (_____)
__ http://www.tanesha.net/ _________________________________(___)_______
| |
|
|