关于后台能看到明文密码,事情闹大了
我这里安装的EMOS1.5,我在后台一直能看到用户的明文密码,按照wiki的说明SYS_MYSQL_ATTR_CLEARPW = clearpwd
# 为了方便管理员对账户的管理,该设置用来保存明文密码;
# 如果不需要该功能请注释掉此设置;
修改过后是一样,看了一下以前的帖子,发现有很多用户都存在这个问题,有回贴说重启fcgi,可是我并没有安装或启用fcgi,难道EMOS1.5默认安装了fcgi并启用了吗?应该是没有安装吧,可是按以上修改后,然后重新启动的服务器,可还是能看到密码,我总感觉这样不太好,外一让别人发现了,还以为我搞什么鬼。
在说了,这件事往大了说,外一哪天我离职了,然后领导发现原来在后台能看到我们所有人的密码啊,领导肯定是要追究的,而且我这里还是国有企业,本来就有很多机密性的东西,。。。 不多说了,责任,责任,责任啊。 官方给个方法吧。 明文密码已经存储在数据库(假定你用的是mysql)中。
注释掉那行配置,只是对修改配置之后的用户而言的。之前保存的需要手动删除数据库中的密码
以下sql语句可以删除所有的明文密码。
sql操作存在数据丢失的风险,请自行决定是否使用[code]
update extmail.mailbox set clearpwd='';
[/code] 2楼说的没错,理解完全正确。那个注释只是对修改密码后有效果,原来已经保存了明文密码的还是会显示,如果确实需要关闭,则按2楼老大的方法操作。操作前记得backup 数据库。 是的,一定要备份数据库,把他们的明文密码都记下来,下次好偷看别人的信件,哈哈。 在哪啊?我怎么没看见呢? 本来就是开源的。。。让你免费使还说这么多p话,老实看看文档什么都知道了。。。 [quote]原帖由 [i]fang00y[/i] 于 2010-3-12 16:40 发表 [url=http://www.extmail.org/forum/redirect.php?goto=findpost&pid=74888&ptid=12587][img]http://www.extmail.org/forum/images/common/back.gif[/img][/url]
本来就是开源的。。。让你免费使还说这么多p话,老实看看文档什么都知道了。。。 [/quote]
呵呵,也不是这么说的,开源的也要协助大家解决问题呀。。。。 很奇怪,有什么东西管理员会看不到???任何数字化的东西,到了管理员这个权限就都不存在什么机密了,如果你的单位确实有机密文档,那么文档本省就应该是加密的,而不是靠什么邮件密码来保证安全。 lz是个很有责任感的邮件管理员,我们有得知公司机密的能力,但是我们不会去做这个事情.这就是职业素质.:lol
更改之前,记得备份数据库,要不,事情会真的闹大的 我也碰到了这样子的问题,但是有些用户能够看到密码,有些用户看不到密码
查看SYS_MYSQL_ATTR_CLEARPW = clearpwd 是已经注释掉的
真的要对数据库进行操作吗?
感觉风险还是挺大的,有没有其他的方法
页:
[1]