<div dir="ltr"><div dir="auto"><div dir="auto">This is a reminder of the OpenBMC Security Working Group meeting scheduled for this Wednesday October 14 at 10:00am PDT.<br><br>We'll discuss the following items on the <a href="https://docs.google.com/document/d/1b7x9BaxsfcukQDqbvZsU2ehMq4xoJRQvLxxsDUWmAOI/edit">agenda</a>, and anything else that comes up:<br></div><div><ol><li>(Joseph): Follow up from 2020-8-19: Gerrit code review: BMCWeb webUI login change: <a href="https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/35457">https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/35457</a> Question: What are the security risks of using the proposed config flag BMCWEB_INSECURE_ENABLE_UNAUTHENTICATED_ASSETS=YES?</li><ol><li>Fingerprinting (leak information about the BMC’s manufacturer and version).</li><li>Attackers have an easier time getting the code to find and exploit security bugs.</li><li>May make DoS easier.</li><li>More? </li></ol><li>(Joseph): Per <a href="https://lists.ozlabs.org/pipermail/openbmc/2020-October/023530.html">https://lists.ozlabs.org/pipermail/openbmc/2020-October/023530.html</a> do we agree on the approach?  What security categories seem most important?</li></ol></div><div dir="auto"><font face="sans-serif"><span style="font-size:12.8px">Access, agenda and notes are in the wiki:</span></font></div><div dir="auto"><font face="sans-serif"><span style="font-size:12.8px"><a href="https://github.com/openbmc/openbmc/wiki/Security-working-group" target="_blank">https://github.com/openbmc/openbmc/wiki/Security-working-group</a></span></font></div><div dir="auto"><font face="sans-serif"><span style="font-size:12.8px"><br></span></font></div><div dir="auto"><font face="sans-serif"><span style="font-size:12.8px">Regards,</span></font></div><div dir="auto"><font face="sans-serif"><span style="font-size:12.8px">Parth</span></font></div></div>
</div>