
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 

"urn:schemas-microsoft-com:vml" xmlns:o = 

"urn:schemas-microsoft-com:office:office" xmlns:w = 

"urn:schemas-microsoft-com:office:word" xmlns:x = 

"urn:schemas-microsoft-com:office:excel" xmlns:p = 

"urn:schemas-microsoft-com:office:powerpoint" xmlns:a = 

"urn:schemas-microsoft-com:office:access" xmlns:dt = 

"uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s = 

"uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs = 

"urn:schemas-microsoft-com:rowset" xmlns:z = "#RowsetSchema" xmlns:b = 

"urn:schemas-microsoft-com:office:publisher" xmlns:ss = 

"urn:schemas-microsoft-com:office:spreadsheet" xmlns:c = 

"urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc = 

"urn:schemas-microsoft-com:office:odc" xmlns:oa = 

"urn:schemas-microsoft-com:office:activation" xmlns:html = 

"http://www.w3.org/TR/REC-html40" xmlns:q = 

"http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc = 

"http://microsoft.com/officenet/conferencing" XMLNS:D = "DAV:" XMLNS:Repl = 

"http://schemas.microsoft.com/repl/" xmlns:mt = 

"http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2 = 

"http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda = 

"http://www.passport.com/NameSpace.xsd" xmlns:ois = 

"http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir = 

"http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds = 

"http://www.w3.org/2000/09/xmldsig#" xmlns:dsp = 

"http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc = 

"http://schemas.microsoft.com/data/udc" xmlns:xsd = 

"http://www.w3.org/2001/XMLSchema" xmlns:sub = 

"http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec = 

"http://www.w3.org/2001/04/xmlenc#" xmlns:sp = 

"http://schemas.microsoft.com/sharepoint/" xmlns:sps = 

"http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi = 

"http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs = 

"http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf = 

"http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p = 

"http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf = 

"http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss = 

"http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi = 

"http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi = 

"http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver = 

"http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m = 

"http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels = 

"http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp = 

"http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t = 

"http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m = 

"http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl = 

"http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl = 

"http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" 

XMLNS:Z = "urn:schemas-microsoft-com:" xmlns:st = ""><HEAD><TITLE>MG Security question</TITLE>

<META http-equiv=Content-Type content="text/html; charset=us-ascii">

<META content="MSHTML 6.00.6000.16890" name=GENERATOR>

<STYLE>@font-face {

        font-family: Cambria Math;

}

@font-face {

        font-family: Calibri;

}

@font-face {

        font-family: Tahoma;

}

@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.0in 1.0in 1.0in; }

P.MsoNormal {

        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"

}

LI.MsoNormal {

        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"

}

DIV.MsoNormal {

        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"

}

A:link {

        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99

}

SPAN.MsoHyperlink {

        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99

}

A:visited {

        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99

}

SPAN.MsoHyperlinkFollowed {

        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99

}

P {

        FONT-SIZE: 12pt; MARGIN-LEFT: 0in; MARGIN-RIGHT: 0in; FONT-FAMILY: "Times New Roman","serif"; mso-style-priority: 99; mso-margin-top-alt: auto; mso-margin-bottom-alt: auto

}

SPAN.EmailStyle18 {

        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal-reply

}

.MsoChpDefault {

        FONT-SIZE: 10pt; mso-style-type: export-only

}

DIV.Section1 {

        page: Section1

}

</STYLE>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]--></HEAD>

<BODY lang=EN-US vLink=purple link=blue>

<DIV dir=ltr align=left><SPAN class=221080922-26082009><FONT face=Arial 

color=#0000ff size=2>Thanks for the response Bruce.</FONT></SPAN></DIV>

<DIV dir=ltr align=left><SPAN class=221080922-26082009><FONT face=Arial 

color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>

<DIV dir=ltr align=left><SPAN class=221080922-26082009><FONT face=Arial 

color=#0000ff size=2>Changing the admin password was the first thing I did and 

that brought about my noticing that serveradminhelper was failing and yes I 

would completely agree a dialog is warranted. I am mostly fishing for&nbsp;any 

other known security defencies without a complete code 

review.</FONT></SPAN></DIV>

<DIV dir=ltr align=left><SPAN class=221080922-26082009><FONT face=Arial 

color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>

<DIV dir=ltr align=left><SPAN class=221080922-26082009><FONT face=Arial 

color=#0000ff size=2>Tom</FONT></SPAN></DIV><BR>

<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>

<HR tabIndex=-1>

<FONT face=Tahoma size=2><B>From:</B> mapguide-users-bounces@lists.osgeo.org 

[mailto:mapguide-users-bounces@lists.osgeo.org] <B>On Behalf Of </B>Bruce 

Dechant<BR><B>Sent:</B> Wednesday, August 26, 2009 2:58 PM<BR><B>To:</B> 

MapGuide Users Mail List<BR><B>Subject:</B> [mapguide-users] RE: MG Security 

question<BR></FONT><BR></DIV>

<DIV></DIV>

<DIV class=Section1>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Tom,<o:p></o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">I 

don&#8217;t know of any document describing the security of 

MGOS.<o:p></o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">In 

regards to your concern over serveradminhelper it is hard coded to use the 

default administrator user name and password &#8211; so credentials are still required 

just no dialog. If you plan on using MGOS or any other system that uses logon 

credentials it is always recommended that you change the default administrator 

credentials. However, I do think that the serveradminhelper pages need to be 

updated so that credentials are asked in a dialog instead of being hard 

coded.<o:p></o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Thanks,<o:p></o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Bruce<o:p></o:p></SPAN></P>

<P class=MsoNormal><SPAN 

style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p>&nbsp;</o:p></SPAN></P>

<DIV>

<DIV 

style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; PADDING-LEFT: 0in; PADDING-BOTTOM: 0in; BORDER-LEFT: medium none; PADDING-TOP: 3pt; BORDER-BOTTOM: medium none">

<P class=MsoNormal><B><SPAN 

style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'">From:</SPAN></B><SPAN 

style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'"> 

mapguide-users-bounces@lists.osgeo.org 

[mailto:mapguide-users-bounces@lists.osgeo.org] <B>On Behalf Of </B>Homan, 

Thomas<BR><B>Sent:</B> Wednesday, August 26, 2009 11:23 AM<BR><B>To:</B> 

mapguide-users@lists.osgeo.org<BR><B>Subject:</B> [mapguide-users] MG Security 

question<o:p></o:p></SPAN></P></DIV></DIV>

<P class=MsoNormal><o:p>&nbsp;</o:p></P>

<P><SPAN 

style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial','sans-serif'">Hello,</SPAN> 

<o:p></o:p></P>

<P><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial','sans-serif'">Does there 

happen to be a doc/wiki relating to security on MGOS?</SPAN> <o:p></o:p></P>

<P><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial','sans-serif'">I'm hoping 

to find something that details the obvious security holes like where the 

'serveradminhelper.(php/aspx/jsp) is called from mapagent/index.html ---&gt; 

Server Admin and allows someone to take the MG server offline without having to 

enter any credentials. By default install that tidbit is exposed to the public 

for their entertainment. </SPAN><o:p></o:p></P>

<P><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial','sans-serif'">I'd like to 

know any of the other suprises that I don't yet know about as well.</SPAN> 

<o:p></o:p></P>

<P><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial','sans-serif'">Thanks in 

advance</SPAN> <o:p></o:p></P>

<P><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial','sans-serif'">Tom</SPAN> 

<o:p></o:p></P></DIV></BODY></HTML>