Zugangsverwaltung - Passwort wird im Klartext abgespeichert
Autor: Hans-Günter K.Bei der Anpassung meines Kontaktformulars auf die neuen DSGVO bin ich auf einen Schwachpunkt gestoßen, welcher u.U. zu erhebliche Probleme bei der Erfüllung der DSGVO führen kann.
Unter "1-Einstellungen --> Erweitert --> Zugangsverwaltung" werden können Gruppen und Benutzer für die Zugamgsverwaltung festgelegt werden. Für jeden eingetragenen Benutzer einer Gruppe werden hier auch die Passwörter verwaltet. Diese Passwörter werden sowohl bei Dateiverwaltung als auch bei datenbankgestützter Verwaltung in Klarschrift abgelegt und können mit geringem Aufwand ausgespäht und ausgelesen werden. Das hat mich dann doch sehr überreascht, dass man hier nicht wenigstens eine einfache Verschlüsselungstechnik eingesetzt hat. In meinen Augen ist das im Sinne der neuen DSGVO 2018 ein "no go" und kann zu entsprechenden Abmahnungen führen, da gerade Passwörter besonders geschützt werden sollten/müssen.
Hier sollte unbedingt umgehend eine Verschlüsselungstechnik implementiert werden.
Kannst du auch sagen in welcher Datei am Server es in Klartext abgespeichert ist? In der Zugangsverwaltung muss man die PAsswörter sehen weil man sonst diese nicht reaktivieren könnte. Dadurch dass WSX5 kein CMS System ist, wird alles lokal gespeichert und wie will ein Anwalt auf deinem PC sehen, dass du PAsswörter in Klartext gespeichert hastwenn du nicht gehackt wirst?
Autor
Bei der Dateiablage stehen die Benutzer-Einträge einschl. zugehörigem Passwort (im Klartext) in
res\access.inc.php
Hi Hans-Günter
Thank you for reporting this concern to me.
At this moment, this is the way the software is storing the password online, while they get converted once they are downloaded into the software.
This is definitely an aspect that we look to improve in order to better the security of the users data, and this matter will be forwarded to the developers for analysis, since it represents a pretty big part of the software.
I reiterate my thanks for taking the time to report the issue
Stefano
GOOGLE TRANSLATE ---
Hallo Hans-Günter
Danke, dass Sie mir dieses Anliegen gemeldet haben.
In diesem Moment speichert die Software das Passwort online, während sie nach dem Herunterladen in die Software konvertiert wird.
Dies ist definitiv ein Aspekt, den wir verbessern wollen, um die Sicherheit der Benutzerdaten zu verbessern, und diese Angelegenheit wird zur Analyse an die Entwickler weitergeleitet, da sie einen ziemlich großen Teil der Software darstellt.
Ich wiederhole meinen Dank dafür, dass ich mir die Zeit genommen habe, das Problem zu melden
Stefano
Autor
Hi Stefano,
I am glad to help you to improve the security of users data.
I'm waiting for a new version of WebSiteX5 with storing of encrypted passwords.
Best regards,
Hans-Günter