Cleartext jelszó API válaszban

[lordblendi]

@dnet jelentette https://github.com/bme-db-lab/szglab5-frontend/issues/117 -ben:

Az /api/events API végponttól kapott válaszban többek között szerepel az érintett felhasználók (oktató, hallgató) kezdeti jelszava. A 2018-ban alkalmazott címtáras belépés miatt ezt meg sem változtatják, így az initPassword mezőben lévő jelszóval bárki beléphet (vö. #114). Kipróbáltam a saját felhasználómmal (demonstrátor) és egy hallgatóéval, működött.

A válaszban egyébként szerepelnek hash-selt jelszavak is a password mezőben is, ezeket egyrészt nem ártana szintén nem kiküldeni, másrészt kérdés, hogy miért léteznek egyáltalán a táblákban, ha a címtáras belépés engedélyezett csak, hiszen így ez gyakorlatilag egy „backdoor” azok számára, akik ismerik ezt a jelszót.

[jmarton]

@Kisfejes ebből mi aktuális még?

[markfejes]

a password is initpassword mezok leteznek meg, viszont ezeket nem kuldjuk mar ki

[dnet]

És mi lenne az akadálya az initpassword mező törlésének, vagy legalább tartalmi kiürítésének?