What about the Password Changer for Roundcube ?
The customer will need it as default.
I-Mscp mit Roundcube
- Tango
- Closed
- Thread is marked as Resolved.
-
-
-
Kann einer das mal Testen ?
Anhang in /var/www/imscp/gui/public/tools/roundcube/plugins/ entpacken.
editiere config.inc.php
Zeile 19
Zeile 20
dieses findet man unter /etc/imscp/imscp-db-keys
Öffnet /var/www/imscp/gui/public/tools/roundcube/config/main.inc.php
Unter
das hier eintragendas wahres
Edit:
Habe noch ein Video eingehangen da kann man sehen das es funktioniert
Video habe ich in 7-zip gepackt da der Forum nicht *.7z endungen annimmt muste ich in nochmal in *.tar packen.Edit: 19:29 10.08.2011
Habe den Anhang geändert das es jetzt dank Sascha im klartext die Passwörter abspeichert geändert. -
.7z sollte jetzt im Forum gehen
-
-
Quick and Dirty
[code=php]private function encrypt_db_password($db_pass,$imscp_db_pass_key,$imscp_db_pass_iv) {
/*if (extension_loaded('mcrypt')
@dl('mcrypt.' . PHP_SHLIB_SUFFIX)) {
$td = @mcrypt_module_open(MCRYPT_BLOWFISH, '', 'cbc', '');
// Create key
$key = $imscp_db_pass_key;
// Create the IV and determine the keysize length
$iv = $imscp_db_pass_iv;
// compatibility with used perl pads
$block_size = @mcrypt_enc_get_block_size($td);
$strlen = strlen($db_pass);$pads = $block_size-$strlen % $block_size;
$db_pass .= str_repeat(' ', $pads);
// Initialize encryption
@mcrypt_generic_init($td, $key, $iv);
// Encrypt string
$encrypted = @mcrypt_generic ($td, $db_pass);
@mcrypt_generic_deinit($td);
@mcrypt_module_close($td);$text = @base64_encode("$encrypted");
// Show encrypted string
return trim($text);
} else {
return PASSWORD_ERROR;
}*/
return trim($db_pass);
}[/php]Einfach diese Funktion austauschen... Aber da müssen wir mal schauen ob das sinnvoll ist die Passwörter im Klartext zu speichern!
Das hat jetzt nichts mit dem Passwortchanger zu tun.. Das muss generell geklärt werden. -
-
Ja das ist auch mein bedenken, warum wurde es überhaupt geändert ? war doch ok das die Passwörter verschlüsselt gespeichert wurde.
Vielleicht meldet sich Daniel oder Laurent warum das so ist
-
Habs Intern angesprochen...
Sobald ich mehr weiss kommt die Info. -
-
Ok danke, habe auch den Anhang geändert und die imscp_pw_changer.php angepasst, getestet und funktioniert
-
Also... Das ist schon richtig so, dass das Passwort unverschlüsselt ist. Daniel hat es wieder umgeschrieben, weil es aus Security Sicht keinen Sinn macht. Warum soll das Mailpasswort verschlüsselt sein, wenn der Angreifer schon Zugriff auf die Datenbank von imscp hat? Wenn er da schon drin ist, hat er auch überall Zugriff. Ich schreibe den Passwort Changer dementsprechend um. Ausserdem muss er noch die Option haben, wenn Courier noch installiert ist. Dann muss nich ein Befehl zusätzlich ausgeführt werden. Wird aber bestimmt nächste Woche. Ich habe morgen und am Freitag massig zu tun.
-
