Az /api/events API végponttól kapott válaszban többek között szerepel az érintett felhasználók (oktató, hallgató) kezdeti jelszava. A 2018-ban alkalmazott címtáras belépés miatt ezt meg sem változtatják, így az initPassword mezőben lévő jelszóval bárki beléphet (vö. #114). Kipróbáltam a saját felhasználómmal (demonstrátor) és egy hallgatóéval, működött.
A válaszban egyébként szerepelnek hash-selt jelszavak is a password mezőben is, ezeket egyrészt nem ártana szintén nem kiküldeni, másrészt kérdés, hogy miért léteznek egyáltalán a táblákban, ha a címtáras belépés engedélyezett csak, hiszen így ez gyakorlatilag egy „backdoor” azok számára, akik ismerik ezt a jelszót.
@dnet jelentette https://github.com/bme-db-lab/szglab5-frontend/issues/117 -ben:
Az
/api/events
API végponttól kapott válaszban többek között szerepel az érintett felhasználók (oktató, hallgató) kezdeti jelszava. A 2018-ban alkalmazott címtáras belépés miatt ezt meg sem változtatják, így azinitPassword
mezőben lévő jelszóval bárki beléphet (vö. #114). Kipróbáltam a saját felhasználómmal (demonstrátor) és egy hallgatóéval, működött.A válaszban egyébként szerepelnek hash-selt jelszavak is a
password
mezőben is, ezeket egyrészt nem ártana szintén nem kiküldeni, másrészt kérdés, hogy miért léteznek egyáltalán a táblákban, ha a címtáras belépés engedélyezett csak, hiszen így ez gyakorlatilag egy „backdoor” azok számára, akik ismerik ezt a jelszót.