IBMs Groupware-Lösung Lotus Domino lassen sich in der Standardkonfiguration durch die Webmail-Komponente Benutzer-Passwort-Hashes entlocken. Da im Internet Passwort-Cracker für Domino zu finden sind, ließen sich damit gegebenenfalls die Benutzerpasswörter errechnen, so ein Security-Advisory von Cybsec.
via heise
die lösung: in der maske “person” einfach “Generate HTML for all fields” deaktivieren. aber neu ist das irgendwie nicht – und die ansicht “($Users)” zeigt auch das feld HTTPPassword; und beides hat mir schon mal geholfen 🙂