WebSite X5Help Center

 
Hans-Günter K.
Hans-Günter K.
User

Zugangsverwaltung - Passwort wird im Klartext abgespeichert  de

Autor: Hans-Günter K.
Besucht 1869, Followers 1, Geteilt 0  

Bei der Anpassung meines Kontaktformulars auf die neuen DSGVO bin ich auf einen Schwachpunkt gestoßen, welcher u.U. zu erhebliche Probleme bei der Erfüllung der DSGVO führen kann.

Unter "1-Einstellungen --> Erweitert --> Zugangsverwaltung" werden können Gruppen und Benutzer für die Zugamgsverwaltung festgelegt werden. Für jeden eingetragenen Benutzer einer Gruppe werden hier auch die Passwörter verwaltet. Diese Passwörter werden sowohl bei Dateiverwaltung als auch bei datenbankgestützter Verwaltung in Klarschrift abgelegt und können mit geringem Aufwand ausgespäht und ausgelesen werden. Das hat mich dann doch sehr überreascht, dass man hier nicht wenigstens eine einfache Verschlüsselungstechnik eingesetzt hat. In meinen Augen ist das im Sinne der neuen DSGVO 2018 ein "no go" und kann zu entsprechenden Abmahnungen führen, da gerade Passwörter besonders geschützt werden sollten/müssen.

Hier sollte unbedingt umgehend eine Verschlüsselungstechnik implementiert werden.

Gepostet am
4 ANTWORTEN
Andreas S.
Andreas S.
Moderator
Nutzer des Monats DE

Kannst du auch sagen in welcher Datei am Server es in Klartext abgespeichert ist?  In der Zugangsverwaltung muss man die PAsswörter sehen weil man sonst diese nicht reaktivieren könnte. Dadurch dass WSX5 kein CMS System ist, wird alles lokal gespeichert und wie will ein Anwalt auf deinem PC sehen, dass du PAsswörter in Klartext gespeichert hastwenn du nicht gehackt wirst?

Mehr lesen
Gepostet am von Andreas S.
Hans-Günter K.
Hans-Günter K.
User
Autor

Bei der Dateiablage stehen die Benutzer-Einträge einschl. zugehörigem Passwort (im Klartext) in

res\access.inc.php

Mehr lesen
Gepostet am von Hans-Günter K.
Incomedia
Stefano G.
Incomedia

Hi Hans-Günter

Thank you for reporting this concern to me. 
At this moment, this is the way the software is storing the password online, while they get converted once they are downloaded into the software.

This is definitely an aspect that we look to improve in order to better the security of the users data, and this matter will be forwarded to the developers for analysis, since it represents a pretty big part of the software.

I reiterate my thanks for taking the time to report the issue

Stefano

GOOGLE TRANSLATE ---

Hallo Hans-Günter
Danke, dass Sie mir dieses Anliegen gemeldet haben.
In diesem Moment speichert die Software das Passwort online, während sie nach dem Herunterladen in die Software konvertiert wird.

Dies ist definitiv ein Aspekt, den wir verbessern wollen, um die Sicherheit der Benutzerdaten zu verbessern, und diese Angelegenheit wird zur Analyse an die Entwickler weitergeleitet, da sie einen ziemlich großen Teil der Software darstellt.

Ich wiederhole meinen Dank dafür, dass ich mir die Zeit genommen habe, das Problem zu melden

Stefano

Mehr lesen
Gepostet am von Stefano G.
Hans-Günter K.
Hans-Günter K.
User
Autor

Hi Stefano,

I am glad to help you to improve the security of users data.

I'm waiting for a new version of WebSiteX5 with storing of encrypted passwords.

Best regards,

Hans-Günter

Mehr lesen
Gepostet am von Hans-Günter K.