I-Mscp mit Roundcube

Tango · Aug 10th 2011

Quote from TheCry

Also... Das ist schon richtig so, dass das Passwort unverschlüsselt ist. Daniel hat es wieder umgeschrieben, weil es aus Security Sicht keinen Sinn macht. Warum soll das Mailpasswort verschlüsselt sein, wenn der Angreifer schon Zugriff auf die Datenbank von imscp hat? Wenn er da schon drin ist, hat er auch überall Zugriff. Ich schreibe den Passwort Changer dementsprechend um. Ausserdem muss er noch die Option haben, wenn Courier noch installiert ist. Dann muss nich ein Befehl zusätzlich ausgeführt werden. Wird aber bestimmt nächste Woche. Ich habe morgen und am Freitag massig zu tun.

Das stimmt nicht so ganz, Mensch ist ein Gewohnheitstier
Stell dir mal vor ich verwende überall das selbe e-mail Adresse mit Passwort
sei es bei Ebay paypal ....

Wenn der angreifer soweit ist muss er aber trotzdem nicht wissen welches passwort der einzelne User verwendet oder ?

**TheCry** · Aug 10th 2011

Tut es dann noch was zur Sache, wenn er die Hauptdatenbank geöffnet hat? Dann hat er auch kein Problem mehr die verschlüsselten Passwörter zu entschlüsseln. Ich von meiner Seite verstehe die Sicht von Daniel.

Und was eBay und Paypal betrifft..;) Dafür haben die auch extra Sicherheitsmechanismen wie Tamagotchi oder Handy eingebaut...;)

oldev01 · Aug 10th 2011

Quote from Internals: sci2tech

Is any reason to be crypted? Was a mistake I did with ispcp and I corrected now. If someone get access to imscp database that will be last thing to worry :D:D:D. Crypted or not, that person will have access to all your data in computer (mail, passwords - yes he will be able to decrypt them - and with minimum effort, root access) :D:D:D. Thats security through obscurity and is not even a bit an improvement =)).
Do not belive me? just send me access to a system with ispcp / imscp and db access to it, and I`ll forward to you all data you want
--------------------------LATER----------------------
To explain better: ftp_users store ftp access in imscp db as uid, gid and homedir. need more hint?
This will not be usable in next release (is fixed in branche) but having db access gives me access to user panel and from there to his emails (I can change password that will go to db encrypted, use that password to read his email, then restore back using hash saved directly in / from db). User will never know that I read his stored /new emails.
Normally only root will know db password and root can read all files in server (including mails) so nothing to hide to him.
Encryption was a bad idea that I putted in practice in ispcp just to please some users. On second thought, was really a bad idea that did only problems with update Smile . Also having plain passwords to db allow dovecot to use other auth methods then plain (which is more secure then crypted passwords).

Display More

Tango · Aug 10th 2011

Ok, you've convinced me:)

gOOvER · Aug 10th 2011

Quote from Tango

Das stimmt nicht so ganz, Mensch ist ein Gewohnheitstier
Stell dir mal vor ich verwende überall das selbe e-mail Adresse mit Passwort
sei es bei Ebay paypal ....

Das ist aber dann nicht das Problem von i-MSCP sondern von dem, der überall die gleichen Passwörter benutzt ;). Wenn jemand schon so weit ist, das er zugriff als Root auf die DB hat, kann er ALLES andere auch lesen Allem anderen kann ich Sci, bzw Sascha nur Beipflichten

Tango · Aug 11th 2011

ich werde es morgen local Testen mit courier, werde feadback abgeben.

Tango · Aug 12th 2011

Feadback:

Habe es ausprobiert mit Courier und Dovecot (jeweils auf Virtuelle Debian's)
klappt wunderbar.

Edit: 13:33 18.08.2011

/var/www/imscp/gui/public/tools/roundcube/plugins/imscp_pw_changer/config.inc.php

Code

// i-MSCP PO-Server
// Courier = 0;
// Dovecot = 1;
$rcmail_config['which_mail_po'] = '0';

Es hat kein Funktion, ich habe es ausprobiert unter Courier die Dovecot also (1) ausgewählt und umgekehrt unter Dovecot die Courier (0)
beides klappt.
hat ja meiner Meinung nichts mit der Datenbank imscp-->mail_users Tabelle die Passwörter zu ändern Zutun oder ?

**TheCry** · Aug 12th 2011

Quote from Tango

Feadback:

Habe es ausprobiert mit Courier und Dovecot (jeweils auf Virtuelle Debian's)
klappt wunderbar.

Edit: 13:33 18.08.2011

/var/www/imscp/gui/public/tools/roundcube/plugins/imscp_pw_changer/config.inc.php

Code

// i-MSCP PO-Server

// Courier = 0;

// Dovecot = 1;

$rcmail_config['which_mail_po'] = '0';

Es hat kein Funktion, ich habe es ausprobiert unter Courier die Dovecot also (1) ausgewählt und umgekehrt unter Dovecot die Courier (0)
beides klappt.
hat ja meiner Meinung nichts mit der Datenbank imscp-->mail_users Tabelle die Passwörter zu ändern Zutun oder ?

Display More

Wenn Courier genutzt wird muss noch ein send_request durchgeführt werden und der mail_user muss auf change stehen.

Tango · Aug 12th 2011

aber wie gesagt habe beides ausprobiert und die Passwörter werden egal welche ausgewählt richtig geändert und gespeichert.

**TheCry** · Aug 12th 2011

Der SQL Query unterscheidet sich auch nur mit dem status "change" zusätzlich wird nur noch der send_request ausgeführt, damit das "change" auch abgearbeitet wird. Das muss aber nur bei Courier gemacht werden. Wenn ich mich richtig erinnere wird durch den Request Manager der PO restartet.

I-Mscp mit Roundcube

Share

Similar Threads

[Solved] Roundcube plugin for i-mscp 1.5.1

Konfiguration von Plugins

Rundmail und statistik bei den Resellern

Roundcube - "Spam"-Button

Eigenes Roundcube Plugin installieren

Daily visitors