
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Apr 29, 2014 at 5:42 PM, Yar <span dir="ltr"><<a href="mailto:yardenack@gmail.com" target="_blank">yardenack@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Tue, Apr 29, 2014 at 12:50 AM, Matthew Senate <<a href="mailto:mattsenate@gmail.com">mattsenate@gmail.com</a>> wrote:<br>


</div><div class="">> create your own account on the <a href="http://dev.sudoroom.org" target="_blank">dev.sudoroom.org</a> site using:<br>

><br>

> user: sudoer<br>

> pass: superuserdoroom<br>

<br>

</div>I appreciate all your hard work on this, but I would advocate for a<br>

more security-conscious approach to this. My two concerns are:<br>

<br>

1) We should not share a wordpress admin account passwords on a public<br>

mailing list. Admin accounts are able to modify files on the server<br>

and execute arbitrary code. This creates a very easy way for anybody<br>

on the internet to pwn our entire web server and attack our users.<br></blockquote><div><br></div><div>password changed</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


2) We should not serve the dev site on http or encourage users to<br>

create accounts in cleartext. I can move it seamlessly to<br>

<a href="https://sudoroom.org/dev/" target="_blank">https://sudoroom.org/dev/</a> with your consent.<br></blockquote><div><br></div><div>We already have wordpress installed on <a href="http://sudoroom.org">sudoroom.org</a> and this will cause redirection issues. I think it's better to have a <a href="http://dev.sudoroom.org">dev.sudoroom.org</a> to maintain total independence. Maybe we can get another SSL cert or use a self-signed?</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

I think we owe our users better than this, especially since we've<br>

taught some of them to use Tor at our cryptoparties. They have trusted<br>

us with email addresses and passwords in (among other things) the<br>

blog, wiki, and mailman. This puts them and us at risk. It also<br>

nullifies a lot of past time and effort that's gone into keeping our<br>

server secure.<br></blockquote><div><br></div><div>I should have told folks to only use demo / test / fake accounts. I hope no one thought they were signing up for anything other then a development site (that will be trashed in the future). I'll just set up demo accounts myself in the future and hand those out.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

_______________________________________________<br>

sudo-sys mailing list<br>

<a href="mailto:sudo-sys@lists.sudoroom.org">sudo-sys@lists.sudoroom.org</a><br>

<a href="https://lists.sudoroom.org/listinfo/sudo-sys" target="_blank">https://lists.sudoroom.org/listinfo/sudo-sys</a><br>

</blockquote></div><br></div></div>