Defaultlösenord för systemanvändare
Mar 19
Uppföljning på säkerhetshålet som Polopoly publicerade förra veckan
KTH rapporterade för ett tag sedan in en buggrapport till Polopoly gällande det potentiella säkerhetshål som alla Polopolyinstallationer kan ha om man inte byter lösenord på alla systemanvändare utom Sysadmin efter varje nyinstallation och uppgradering av Polopoly.
Jag fick ett svar av Anders Weijnitz på Atex Polopoly kring hur de ser på defaultlösenord för dessa. Anders säger att de jobbar mot att ta bort defaultlösenord helt och hållert. Vilket jag tycker vore en bra ide.
Anders säger att de inte kommer att hinna få med denna ändring till nästa release (9.12.0 den 6/4), men den ligger med som punkt i deras nästa planering för version 9.13, vi får hoppas att Polopoly anser den vara viktig att fixa. Vidare säger Anders att Polopolys vill minska användningen av systemkonton över huvud taget.
Jag vet inte hur Polopoly tänkt sig minska systemkontons betydelse , men om jag får önska, å det får man här, skulle jag vilka ersätta sysadmin-användaren med vanlig rättighetshantering som jag sen kan sätta på grupper, eller användare. Tänk att ha en sysadmin-grupp, som man kan lägga till och ta bort användare ur, oh what a joy!
Patric Jansson
Taggar: bugg, rättigheter, Säkerhet