Announcement

Collapse
No announcement yet.

Passwords logged in plaintext

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Passwords logged in plaintext

    Hab mal eine Testinstallation durchgeführt und musste feststellen:

    Passwörter der User sind in den Apache2 Logs als Plaintext zu lesen
    Hat das jemand auch schon festgestellt?

  • #2
    Das scheint der Apache zu sein, der munter alle requests mit URL und URL-Parametern mitloggt.

    Machst Du uns einen Bug dazu auf, bitte?

    Comment


    • #3
      Haben wir gefixt. Wird mit dem nächsten CVS-Sync verfügbar sein.

      Danke für den Report!

      Comment


      • #4
        Danke, ist mir auch schon aufgefallen, hab es aber selbst gefixt/anders gelöst.
        Mal eine andere Frage betreffs eurem AJP13. Ich will Änderungen in den Sourcen vornehmen um ihn mit dem Lighty 'kommunizieren' zu lassen.
        Seit ihr anschließend an dem Ergebnis interessiert?

        Comment


        • #5
          Wenn die Änderungen transparent sind (sprich danach auch noch alles mit dem Indianer läuft), sicherlich. Am geschicktesten ist, Du machst einen Bug für deine Entwicklung auf und diskutierst dort dein Vorgehen, da kannst Du dann auch deinen Patch anhängen und mit dem passenden Entwickler diskutieren.

          Die zweite Hürde ist, unser Attribution and Assignment Agreement, denn Deine Contribution würdest Du uns schon ganz überlassen müssen:



          Wenn Du Fragen zu dem ganzen Kram hast, immer 'raus damit

          Comment


          • #6
            Hi,

            ist schon klar, dafür arbeitet man auch in einer Community
            Will mir erstmal die ganzen Sachen genauer ansehen, gucken wo es mit dem Lighttpd hängt (SessionID-Cookie höchstwahrscheinlich) und danach entsprechende Änderungen vornehmen.
            Kann aber auch sein die Direktive für den Port ändern zu müssen wo das Teil per default läuft. Dann könnte man sowas wie einen Patch entwickeln und als optionale Datei während der Installation einfügen.
            Könnte auch als Attachment im Installations-Wiki stehen. So würde alles beim alten bleiben.
            Hab noch 2-3 andere Sachen vorher zu erledigen und evtl. hat sich das Thema erledigt wenn der 'Hauptpart' des OX Developements abgearbeitet und die Kommunikation Lighty via AJP13 zum OX Hyperion doch funktioniert.

            Beim OX 0.8.6-0 und darunter funzt es erste Sahne und der Lighty zieht auf immer mehr Server produktiv ein.
            Last edited by Guest; 04-18-2007, 12:19 PM.

            Comment


            • #7
              Klingt spannend. Ich hab den Lighttpd vor allem als fcgi Moped bisher irgendwo gesehen. Was den Port angeht könnte man ihn möglicherweise gleich Konfigurierbar basteln. Dann muss ich auch nicht immer meinen tomcat 'runterfahren (oder umkonfigurieren).

              Comment


              • #8
                Originally posted by Francisco Laguna View Post
                Klingt spannend. Ich hab den Lighttpd vor allem als fcgi Moped bisher irgendwo gesehen. Was den Port angeht könnte man ihn möglicherweise gleich Konfigurierbar basteln. Dann muss ich auch nicht immer meinen tomcat 'runterfahren (oder umkonfigurieren).
                Der Lighty wird immer genialer und vor allem --> Ressourcengewinn gegenüber Apachen von bis zu 30% und darüber. Für die Hymaliaversion wurde er eingesetzt auf einem sehr schwachbrüstigen Testserver mit lediglich 256MB RAM.
                Java ein wenig optimiert, PHP ge'spawn'ed und es hat zu meinem erstaunen lange gedauert bis der Server anfing zu swappen...

                Mit dem Ports wäre eine Überlegung wert.
                Immerhin, es sind wieder ein paar Wochen seit meiner letzten Installation vergangen, evtl. wurde bei der Weiterentwicklung noch unbewusst ein "Bug" gefixt und Lighty funzt nun...
                Melde mich bei Euch spätestens Ende nächster Woche.

                Comment


                • #9
                  Das mit dem Lighttpd kann ich nur bestätigen.
                  Wir entwickeln Lernsoftware und haben mal testweise je eine Demo-CD mit Apache und Lighty an unsere Kunden versendet. Das Ergebnis war für meinen Chef sehr überraschend: 4/6 dieser Kunden haben betont das Produkt kaufen zu wollen OHNE Apache2.

                  Seitdem entwickeln wir für beide Webdaemonen und immer mehr Kunden lernen den Lighty zu schätzen

                  Gruß Jasmin

                  Comment


                  • #10
                    Hallo Jasmin,

                    ihr 'entwickelt' für beide? Würde es mal anders ausdrücken, es wird darauf geachtet das Lighty und Apache2 mit den Dingern klar kommen
                    Wenn man einmal mit dem Syntax der Lighty-config richtig vertraut ist, stellt man erstmal fest wie 'träge' die Konfiguration des Apachen eigentlich ist.
                    Lighty 1.5 ist zwar unstable, läuft aber IMHO stabiler als der momentan stable Lighty (1.4.15).

                    Comment

                    Working...
                    X