Univention Bugzilla – Bug 45461
UMC should not store persistent personal data
Last modified: 2017-11-28 17:26:38 CET
The customer wishes that we don't store the username persistent at all on the client side. """ die Lösung ist unzureichend. Uns ging es darum, dass personenbezogene Daten nicht im Klartext im Client gespeichert werden und dadurch von einem Angreifer im Falle eines Cross-site Scripting (XSS) Angriffsvektors ausgelesen werden können. Es geht also darum, dass man das z.B. stattdessen hashen und server seitig zuteilen könnte ... stattdessen hat Univention nun dieses personenbezogene Datum im Klartext in den LocalStore im Browser statt im Cookie im Browser gespeichert. Andere Stelle -> gleiches Problem. """ As a solution we would remove the value completely from the local storage. This has the effect that the username is not pre filled in the login dialog anymore in the next session. It does not prevent, that if we would have a XSS vulnerability an attacker can gain the username (or session ID) while the user is logged in. All these data are available in the DOM, javascript memory or can be accessed via specific HTTP requests. +++ This bug was initially created as a clone of Bug #45390 +++ Es wurde festgestellt, dass die Webapplikation personenbezogene Daten innerhalb eines Cookies im Klartext speichert. Dies kann ein Datenschutz Issue darstellen, wenn diese Cookies beispielsweise in Logdateien protokolliert werden. Neben der ID wird auch der Name des Benutzers im Klartext gespeichert. Dies stellt uns vor Datenschutz-rechtliche Probleme, welche Zeitnah gelöst werden müssen.
I removed every use of the local storage/cookie by storing the username inside of the javascript memory. changelog-4.2-3.xml b9068bec97b1 | Changelog Bug #45461 univention-management-console (9.0.80-81) 09b6e527ee3f | Bug #45461: don't store username in cookie/localstorage univention-system-setup (10.0.11-2) 09b6e527ee3f | Bug #45461: don't store username in cookie/localstorage univention-web (1.0.42-51) 09b6e527ee3f | Bug #45461: don't store username in cookie/localstorage
It seems to work everything regulary. I tested UMC, UMC via query string with ?username=foobar and Univention System Setup boot.
OK UMC, UMC with ?username query, system setup ~OK The username is still saved in the localstorage if the system is updated to 4.2-3 ~OK A cookie with the username is saved for a (very) short time if a user logs in and is then immediately removed OK changelog (0c2d683 Bug #45461: QA: 4.2-3 changelog) As mentioned in the bug description the username field on login is no longer prefilled -> verified
UCS 4.2-3 has been released.