Well, the point is that it is wrong for anyone (even the admin) to know the<br>passwords of any user "in the clear" just by looking at the log files.<br>(How someone can obtain the passwords is a different matter.)<br>
<br><div class="gmail_quote">On Tue, Feb 3, 2009 at 7:55 AM, Andreas Heinlein <span dir="ltr"><<a href="mailto:aheinlein@gmx.com">aheinlein@gmx.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Dave Sherohman schrieb:<br>
<div class="Ih2E3d">><br>
> I can't say that I find the latter point particularly relevant, as many<br>
> users are in the habit of re-using passwords across multiple sites.<br>
><br>
> If I, as an RT admin, have access to my RT users' passwords, then that<br>
> may not present any risk to the security of my RT installation (as<br>
> admin, I have full access anyhow), but it does potentially place those<br>
> users' email accounts, bank accounts, etc. at risk if they use the same<br>
> passwords on those sites as they do on my RT install.<br>
><br>
</div>If such people want to find out users passwords in order to try them out<br>
elsewhere, they could just remove the cloaking of passwords from the RT<br>
source, or sniff the http packets (or set up a man-in-the-middle-attack<br>
if RT is using HTTPS), or design their own login page that writes down<br>
the passwords before passing them to RT, or...<br>
<br>
In many organizations, it is policy that admins do not know and cannot<br>
recover their users passwords, including ours. That's OK for secure<br>
applications and authentication frameworks like Windows domain logons or<br>
Kerberos. But there's no way to secure a plain http login against your<br>
own admins. You will have to use some other form of authentication for<br>
RT if you want this.<br>
<br>
Bye,<br>
<font color="#888888">Andreas<br>
</font><div><div></div><div class="Wj3C7c">_______________________________________________<br>
<a href="http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users" target="_blank">http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users</a><br>
<br>
Community help: <a href="http://wiki.bestpractical.com" target="_blank">http://wiki.bestpractical.com</a><br>
Commercial support: <a href="mailto:sales@bestpractical.com">sales@bestpractical.com</a><br>
<br>
<br>
Discover RT's hidden secrets with RT Essentials from O'Reilly Media.<br>
Buy a copy at <a href="http://rtbook.bestpractical.com" target="_blank">http://rtbook.bestpractical.com</a><br>
</div></div></blockquote></div><br>