<div dir="ltr">For what it's worth, my personal preference is to modify the Mailman template to use HTML comments to remove the password field. If people submit no password, then Mailman generates one for them randomly, which results in better security IMHO and better usability IMHO.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 5, 2016 at 8:04 AM, Niklas Hambüchen <span dir="ltr"><<a href="mailto:mail@nh2.me" target="_blank">mail@nh2.me</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hey,<br>
<br>
just signed up to the mailing list. The signup page at<br>
<br>
  <a href="http://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">http://lists.zx2c4.com/mailman/listinfo/password-store</a><br>
<br>
is unencrypted and https seems to not work there, so my password is now<br>
unavoidably owned by the guy sniffing the Starbucks traffic next to me.<br>
<br>
This is not too much of a problem for me right now since I use random<br>
passwords for each signup, but this still feels like an unfortunate<br>
setup for unsuspecting/non-technical people who re-use passwords and<br>
just want to ask a question to this mailing list.<br>
<br>
Could the mailman config be put under https?<br>
<br>
By the way, this would also make sense for the pass website, or so that<br>
I can at least retreive the signing pubkey via an authenticated<br>
transport (of course to be sure I'd still have to validate the key<br>
identity). Currently there is no way for me to see whether the pass code<br>
I clone has integrity at all because all means to obtain or verify it<br>
can be trivially man-in-the-middled.<br>
<br>
Thanks!<br>
<br>
<br>
_______________________________________________<br>
Password-Store mailing list<br>
<a href="mailto:Password-Store@lists.zx2c4.com">Password-Store@lists.zx2c4.com</a><br>
<a href="http://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">http://lists.zx2c4.com/mailman/listinfo/password-store</a><br>
</blockquote></div><br></div>