Erstellt vor 9 Jahren
Geschlossen vor 7 Jahren
#235 closed Fehler (fixed)
Sicherheit in URL
| Erstellt von: | fux@… | Verantwortlicher: | p.reetz@… |
|---|---|---|---|
| Priorität: | sehr hoch | Meilenstein: | |
| Komponente: | kivitendo ERP | Version: | 2.2-testing |
| Schweregrad: | Verbesserung | Stichworte: | Finanzbuchhaltung |
| Beobachter: | s.koehler@… |
Beschreibung
Hallo,
leider im derzeitigen Entwicklungsstadium vermutlich eher ein FeatureRequest?,
aber _eigentlich_ sollte man diesem "Feature" mehr Aufmerksamkeit schenken:
Passwörter dürfen nicht in die URL eingebettet werden!
Sie erscheinen sonst an zuvielen Stellen, die man nicht kontrollieren kann:
Apache Serverlog, Caches von Proxies, Caches beim client selbst etc.
Die Tatsache, dass das Passwort gecryptet ist, hilft sicherheitstechnisch nicht.
Abhilfe: Cookies, POSTen der Formularfelder o.ä.
Grüße,
/fux
Änderungshistorie (2)
comment:1 Geändert vor 9 Jahren durch s.koehler@…
- Beobachter s.koehler@… hinzugefügt
- Priorität von Normal nach Kritisch geändert
- Schweregrad von Kritisch nach Verbesserung geändert
- Status von new nach assigned geändert
comment:2 Geändert vor 7 Jahren durch p.reetz@…
- Lösung auf fixed gesetzt
- Status von assigned nach closed geändert
In der Version 2.6 alles umgesetzt. Zum Teil schon früher
Hinweis: Hilfe zur Verwendung von Tickets finden Sie in TracTickets.
Daran wird gearbeitet. Das wird aber vor der 2.3.0 nicht mehr reinkommen!