<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>Thanks for replying.</div>

<div> </div>

<div>Suppose I patch my config as you suggested below.</div>

<div>2.0 What does this patch actually do?</div>

<div>2.1 Is there anything that I should back up before doing so?</div>

<div>2.2 Does anything happen to the existing accounts?</div>

<div>2.3 Are the consequences reversable, in case of trouble?</div>

<div>(I dont want to end up losing the accounts)</div>

<div> </div>

<div>
<div name="quote" style="margin:10px 5px 5px 10px; padding: 10px 0 10px 10px; border-left:2px solid #C3D9E5; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div style="margin:0 0 10px 0;"><b>Gesendet:</b> Dienstag, 02. Juli 2013 um 17:47 Uhr<br/>
<b>Von:</b> Badlop <badlop@gmail.com><br/>
<b>An:</b> ejabberd@jabber.ru<br/>
<b>Betreff:</b> Re: [ejabberd] password insecurity</div>

<div name="quoted-content">On 14 June 2013 15:22, Michael Scheppat <MSJean@gmx.de> wrote:<br/>
> Hi ejabberd-lers,<br/>
><br/>
> I have seen a problem of the ejabberd2 webinterface.<br/>
> When browsing the user accounts there is an option to change the user's<br/>
> password.<br/>
> That might be ok, but viewing the html source code shows the old<br/>
> password in plaintext, which not ok at all.<br/>
> That way user passwords could be spied on to use them on other accounts<br/>
> in case they use the same passwords again. Especially when there is<br/>
> multiple admins to operate on that xmpp server.<br/>
><br/>
<span style="font-family: Verdana, sans-serif, Arial, 'Trebuchet MS'; font-size: 13px; line-height: 1.6em;">...</span></div>

<div name="quoted-content"><br/>
><br/>
> 2.) What can I do to secure this?<br/>
<br/>
There's a very simple patch:<br/>
<br/>
--- a/src/web/ejabberd_web_admin.erl<br/>
+++ b/src/web/ejabberd_web_admin.erl<br/>
@@ -1723,7 +1723,7 @@ user_info(User, Server, Query, Lang) -><br/>
?LI([?C(R ++ FIP)])<br/>
end, lists:sort(Resources)))]<br/>
end,<br/>
- Password = ejabberd_auth:get_password_s(User, Server),<br/>
+ Password = string:chars($*,<br/>
length(ejabberd_auth:get_password_s(User, Server))),<br/>
FPassword = [?INPUT("password", "password", Password), ?C(" "),<br/>
?INPUTT("submit", "chpassword", "Change Password")],<br/>
UserItems = ejabberd_hooks:run_fold(webadmin_user, LServer, [],<br/>
 </div>

<div name="quoted-content"> </div>
</div>
</div></div></body></html>