<div dir="ltr">Joseph,<div><br></div><div>I agree that it is not a good idea to expose usernames in this context.  </div><div><br></div><div>One possible compromise is to make the account collection discoverable, but only put the users account into the response (unless it is an admin user).</div><div><br></div><div>-Richard</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Feb 10, 2020 at 9:36 AM Joseph Reynolds <<a href="mailto:jrey@linux.ibm.com">jrey@linux.ibm.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The Redfish spec recently changed to allow users with the Login <br>
privilege to enumerate all BMC users.  Previously only the admin user <br>
could do this.  I disagree with this change and believe it is an <br>
unnecessary information exposure.  Details are in the Redfish forum post.<br>
<br>
<a href="https://redfishforum.com/thread/281/manageraccountcollection-change-allows-account-enumeration" rel="noreferrer" target="_blank">https://redfishforum.com/thread/281/manageraccountcollection-change-allows-account-enumeration</a><br>
<br>
Are we okay with this?  Do we ask Redfish to change it back?  Please <br>
reply to this email or to the forum with your thoughts.<br>
<br>
Thanks,<br>
- Joseph<br>
<br>
References:<br>
<br>
The change was made to Redfish version 2019.4 > DSP2046 > <br>
Redfish-1.0.4-PrivilegeRegistry > ManagerAccountCollection > GET:<br>
<a href="https://www.dmtf.org/standards/redfish" rel="noreferrer" target="_blank">https://www.dmtf.org/standards/redfish</a><br>
<br>
OpenBMC has the corresponding implementation change pending here:<br>
<a href="https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/28881" rel="noreferrer" target="_blank">https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/28881</a><br>
<br>
This was discussed in the 2020-02-05 OpenBMC security working group <br>
meeting as agenda item 3.  Minutes:<br>
<a href="https://docs.google.com/document/d/1b7x9BaxsfcukQDqbvZsU2ehMq4xoJRQvLxxsDUWmAOI" rel="noreferrer" target="_blank">https://docs.google.com/document/d/1b7x9BaxsfcukQDqbvZsU2ehMq4xoJRQvLxxsDUWmAOI</a><br>
<br>
</blockquote></div>