<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=ISO-8859-1">
<META content="MSHTML 6.00.6000.16414" name=GENERATOR></HEAD>
<BODY id=role_body style="FONT-SIZE: 10pt; COLOR: #000000; FONT-FAMILY: Arial" 
bottomMargin=7 leftMargin=7 topMargin=7 rightMargin=7><FONT id=role_document 
face=Arial color=#000000 size=2>
<DIV>Hallo,</DIV>
<DIV>ich nutze derzeit Apache 2 und Mapbender 2.4 und mir ist dort ein evtuelles 
Sicherheitsrisiko aufgefallen.</DIV>
<DIV>In den temporären Sessions-Dateien werden Benutzername und Passwort im 
Klartext gespeichert.</DIV>
<DIV>Die Sessionsdateien liegen im htdocs/tmp Verzeichnis, welches für jeden 
über das Internet zugänglich ist. Demnach hätten Unbekannte doch sofort alle 
Zugangsdaten, indem Sie in die Sessionsdateien schauen.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Wie kann man das umgehen?</DIV>
<DIV>- Ist es möglich, das Passwort in der temorären Sessions-Datei als md5-Hash 
zu speichern?</DIV>
<DIV>- Oder reicht es, wenn ich den Zugriff auf das tmp-Verzeichnis 
blockiere?</DIV>
<DIV>&nbsp; Würde Mapbender dann Probleme bekommen?</DIV>
<DIV>&nbsp;</DIV>
<DIV>Gruß</DIV>
<DIV>Mike</DIV></FONT>   </BODY></HTML>