[Discuss] Wiki Security (war wiki cleanup)

Matthias Šubik (spam-protected)
Mi Apr 20 09:38:41 CEST 2016


Hello,
> On 20.04.2016, at 09:28, David Hopfmueller <(spam-protected)> wrote:
> 
> On 04/20/2016 12:48 AM, Erich N. Pekarek wrote:
> 
...
>> Pardon, wieso nützt Ihr denn nicht via LDAP die Account-Daten vom
>> "Portal" (aka Marvin-Zugangsdaten)?
> 
> Vorgestern war diese Funktionalität mW nicht verfügbar. Möchtest Du dieses Projekt übernehmen?

Das Projekt SSO mittels LDAP ist auf *halt*, weil es ein massives Sicherheitsproblem ist,
wenn wir in “irgendeine” PHP-App unsere Zugangsdaten eingeben.

Das wird doppelt problematisch, wenn es sich um eine App wie MediaWiki handelt, die global verbreitet ist, und demnach mit Google (manchmal speziell mit shodan) nach alten MediaWikis gesucht werden kann.

Das wird dreifach problematisch, weil das ständige Updaten eine Arbeit ist, die wir im Moment nicht schaffen. 
Deshalb work-around gesucht, workaround bei MediaWiki Update gebrochen. Als ich davon erfahren habe, hab ich am Wochenende noch Logs durchsucht, aber MediaWiki loggt diese MWExeption nicht mal, sondern zeigt sie nur an, und dass ist alles was wir davon erfahren. 

Ich will jetzt nicht in die Details gehen, aber als theoretische Lösungswege bieten sich shibboleth, anderer anti-spam, oder das befreien der Zugangsdaten von jedem Anreiz (VoIP?/IP-Vergabe/multiple pw ala univie eduroam) an.

Dann können wir SSO machen, aber müssen nicht das gleiche Passwort, oder sogar nicht die gleiche Benutzerkennung/Passwort Kombination verwenden. 
Das sind alles Riesenprojekte, für die uns einfach die Mannstunden fehlen.
Wer also junge Leute mit viel Zeit kennt: ob ich jetzt das Wiki alleine richte, oder jemanden darauf einschule, macht kaum einen Unterschied.

bG
Matthias





Mehr Informationen über die Mailingliste Discuss