[wos] Re: maillist memberships reminder

Volker Grassmuck wos@post.openoffice.de
Fri, 1 Feb 2002 19:39:10 +0100 

On 1 Feb 2002, at 12:42, Sven Guckes wrote:

> * On Fri, Feb 01, 2002 at 09:32:31AM +0100, Benjamin Lukas wrote:
> > Wer managt eigentlich eigentlich die Mailingliste??

ich, wie Du unten auf der Webseite hast sehen koennen ("Wos list run by 
vgrass@rz.hu-berlin.de, post-admins@openoffice.de")

> > Hat dieser jemand noch nie gehoert, das Passwoerter
> > nicht in unverschlüsselte Mails gehoeren??

Deine Alarmglocken beim Stichwort Passwort in Ehren, aber was koennte ein 
Angreifer mit Deinem abgefangenen Passwort tatsaechlich anstellen? Es geht um das 
Passwort fuer Deine WOS-Subskription (nicht etwa um das fuer die Listenverwaltung). 
Damit koennte ein Angreifer einstellen, ob Du Deine Mails als Digest, in MIME oder 
Text-Format bekommst, ob die Liste Dir Deine eigenen Postings schickt, er koennte 
Dein Passwort aendern und Dich abmelden. Im schlimmsten Falle muesstest Du Dich 
also neu subskribieren. Der Angreifer koennte nicht mal in Deinem Namen posten. 
Scheint mir also nicht so super kritisch.

GNU-Mailman stellt "Send monthly password reminders?" default-maeszig auf "yes". 
Wenn das gewuenscht wird, kann ich das aber auch abstellen, aber wie Sven schrieb 
hat es auch Vorteile, monatlich erinnert zu werden. 

Grusz
Volker

> * Harald Welte <laforge@gnumonks.org> [020201 11:12]:
> > darf ich darauf hinweisen, dass die wohl momentan
> > am weitesten verbreitete Mailinglisten-Software
> > (GNU mailman) das immer und ueberall so macht?
> 
> Nunja - der Punkt ist nicht, dass es bei vielen Listen
> dasselbe "Problem" gibt, sondern dass man von dem
> maillist manager wohl nicht erwarten kann, dass er das
> Passwort an jeden einzelnen verschluesselt schicken kann.
> 
> Woher sollte die Software dafuer auch einen Schluessel haben?
> Zumal ja nicht jeder ueberhaupt einen Schluessel hat.
> 
> Also muesste man dafuer einen Standardschluessel verwenden.
> Und wenn man diesen erstmal einmal hat, dann gewinnen
> damit nur die "Wissenden" das eigentliche Passwort -
> und die Unwissenden verlieren wieder einmal.
> 
> Natuerlich kann man von jedem subcriber erwarten,
> dass er sich die Adresse der Mailinglisten Webseite
> merkt, um sich darueber bei Bedarf sein Paswort per
> Email schicken zu lassen.  Aber die Realitaet sieht
> numal anders aus - kaum einer macht das wirklich.
> Und daher gibt es diesen "monatlichen Reminder".
> 
> Aber vielleicht gibt es einen besseren Weg?
> Mach einen Vorschlag, Benjamin!
> 
> Sven
> 
> -- 
> Sven Guckes   guckes-maillist-faq@math.fu-berlin.de
> MailList      "(A Guide to)  Life on Mailing Lists"
> MailList http://www.math.fu-berlin.de/~guckes/faq/maillist.html
> MailList HOWTO edit messages and avoid basic mistakes
> -- 
> Wos mailing list
> Wos@post.openoffice.de
> http://212.42.230.8/cgi-bin/mailman/listinfo/wos



|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

   http://wizards-of-os.org
   http://waste.informatik.hu-berlin.de/Grassmuck

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||