אחת התוכנות הפופולאריות ביותר לניהול רשימות תפוצה היא mailman.
היום קיבלתי תזכורת מאחת מרשימות התפוצה אליהן אני רשום שאני רשום אליה, ובתזכורת היתה הסיסמא איתה נרשמתי.
מי שקרא את הפוסט על התורכים, זוכר מה זה אומר:
מיילמן שומר את הסיסמא כטקסט נקי.
חיפוש קצר בגוגל הוביל לזה: באג במיילמן מ2006 (!) שלאחרונה זכה לקצת התייחסות, הכרה מצד מפתחי מיילמן שזו בעיה שתתוקן בגרסא הבאה.
לא ממש מוסיף כבוד להילת האבטחה המוגברת של מוצרי קוד פתוח, באג טיוויאלי וחשוב כזה זוכה להתעלמות במשך ארבע שנים.
הבאג הוא כל כך ישן שגם שכבר תצא הגרסא הבאה רוב המשתמשים לא יטרחו לשדרג כי הם אפילו לא יזכרו שהם התקינו את מיילמן.
בכל מקרה, המשמעות של זה היא שהסיסמאות שנתתם לרשימות התפוצה בסכנת חשיפה גבוהה. הדבר הזה מדגיש את החשיבות של פתרון כמו LastPass או KeePass שיאפשרו שימוש בסיסמאות אקראיות לכל שרות.
הדבר הכי מרגיז בזה הוא שאני כמעט אף פעם לא משתמש בסיסמה הזו. או ליתר דיוק: לא מנסה בכלל לזכור אותה בכל דרך שהיא, ומבקש אותה מהשרת לפני שאני צריך להשתמש בממשק הווב.
מסקנה:
1. מאוד מעצבן אותי שאין ל־mainman ממשק תצורה דרך הדואר. כי ממשק הווב לא חוסך לי את שליחת ההודעה וקבלתה.
2. כשנרשמים לרשימה עם MailMan – להמציא סיסמה חזקה (ושונה בכל מקום) ולא לנסות לשמור אותה.
הסיסמה הראשונית היא בד"כ הרגלה של המחשב, מאחר ורוב האנשים פשוט נרשמים ללא סיסמה.
אבל אני מסכים איתך שאפשר היה להוריד את שדה הסיסמה מהמייל.
mailman מדגיש שהסיסמה צריכה להיות חלשה כי הוא שולח אותה בדואר בטקסט גלוי ולא מצפין אותה. אני משתמש בסיסמה קצרה בת 4 אותיות שהיא מילה באנגלית.
You may enter a privacy password below.
This provides only mild security, but should prevent others from messing with your subscription.
Do not use a valuable password as it will occasionally be emailed back to you in cleartext.
לדוגמה:
http://hamakor.org.il/cgi-bin/mailman/listinfo/python-il
— אריק
אריק,
לא כתוב לך שם לכתוב סיסמה חלשה. כתוב לך לא לבחור סיסמה שחשובה לך. נדמה לי שבאחד משרתי הרשימות בחרתי דווקא את המילה valuable כסיסמה מכיוון שההודעה הזו עיצבנה אותי 🙂 .
עצוב … תודה על הידיעה
אריק,
חצי נחמה.
במקום לטרוח לכתוב את ההודעה הזו (שאין כדוגמתה בשום מקום שמבקש ממך סיסמא – תמיד מבקשים סיסמא חזקה) המפתחים העצלים היו צריכים לתקן את זה.
גם אם קראתי את זה בפעם הראשונה שנרשמתי לרשימת תפוצה המנוהלת במיילמן מתישהו לפני שנים רבות – את העובדה שהם שומרים סיסמאות כטקסט קריא לא לקחתי איתי עד היום.
וחוץ מזה, כמה מהמשתמשים בכלל טורחים לקרוא את מסך ההוראות הזה? (והעיצוב הכעור שלו לא עוזר לעניין).
ואו. מפתיע וגרוע. תודה על החשיפה 🙂
אגב, יש אלטרנטיבות טובות למיילמן?
גיליתי עכשיו שגם yad2.co.il שולח ססמאות ככה בדואר, שים לב.
כאחד שעבד פעם ביד2 אני ממש לא מופתע.