Comments 39
Соглашусь с разработчиками, если кто то уже получил доступ к каталогу пользователя, то поздно шифровать пароли. И то что пароли не шифруются меня не один раз уже спасало, когда я их забывал и нужно было где то ввести их ещё раз.
С другой стороны шифрование весьма полезная вещь, и убережёт пароли от непосредственного просмотра через cat например, если права доступа выставлены к папкам некорректно. Например в gajim можно использовать менеджер паролей для этого дела.
С другой стороны шифрование весьма полезная вещь, и убережёт пароли от непосредственного просмотра через cat например, если права доступа выставлены к папкам некорректно. Например в gajim можно использовать менеджер паролей для этого дела.
>>3) Менее всего опасно в Linux, так этот файл находится в домашней папке, доступ к которой разрешен, по умолчанию, только хозяину этой папки.
да в висте не-админу тоже нет доступа к другим профилям
троллинг детектед
да в висте не-админу тоже нет доступа к другим профилям
троллинг детектед
Какой смысл их шифровать? Все равно их придется расшифровывать чтобы залогиниться на сервер, а если это может сделать pidgin, то и любой человек тоже легко может это сделать.
Можно спрашивать пароль для расшифровки во время запуска, но вводить его каждый раз не всегда удобно. Имхо лучше всего было бы реализовать это ввиде плагина
Можно спрашивать пароль для расшифровки во время запуска, но вводить его каждый раз не всегда удобно. Имхо лучше всего было бы реализовать это ввиде плагина
меня беспокоит, что из-за открытого пароля сильно расширяется круг лиц, которые могут его раздобыть.
Думаю, что даже очень простое шифрование (сокрытие пароля где-либо) превратило бы получение пароля не очень сведущими людьми в довольно непростую задачу.
Думаю, что даже очень простое шифрование (сокрытие пароля где-либо) превратило бы получение пароля не очень сведущими людьми в довольно непростую задачу.
Исходники pidgin открыты, так что любой человек знакомый с C легко вытащит функцию дешифровки из кода
«любой человек знакомый с » — как вы думаете, во сколько раз от этого бы уменьшилось людей, которые способны стащить мой пароль?
В 1 раз уменьшилось бы.
Все, кто способен нелегально получить доступ к вашему компу — авторы вирусов, то бишь — знают C
Все, кто способен нелегально получить доступ к вашему компу — авторы вирусов, то бишь — знают C
Далеко не факт, скрипт-киддисов никто не отменял. А это большой процент «хакиров».
скрипткиддисы способны и на использоваение универсальных расшифровщиков паролей, типа тех, которые извлекают данные из защищённого хранилища Windows
знать C тут достаточно одному человеку, который для собственной пользы (вспомнить забытый пароль, извлечь из хранилища) написал вполне легальную программу
знать C тут достаточно одному человеку, который для собственной пользы (вспомнить забытый пароль, извлечь из хранилища) написал вполне легальную программу
Для винды это ж вообще катастрофа по-моему. Есть ли разграничение по правам доступа, или нет его — все равно хранить пароли в открытом виде — это моветон. Будь пиджин распространен в виндовсе — наверняка были бы вирусы, которые таскают пароли в два счета.
Утащить пароли вирусом можно из любой программы, которая хранит их на винте и не спрашивает пароль при каждом запуске
А что даст «закрытый вид»? Пиджин опенсорсен, значит, алгоритм расшифровки будет открыт, и любой сможет расшифровать этот пароль. Это скрытие только от обычного невооружённого глаза, но не более.
Что до вирусов, то полно вирусов, которые охотятся за паролями фара, winscp, cuteftp и прочих популярных FTP-клиентов, которые пароли в открытом виде не хранят. Тем не менее, их вовсю таскают — именно потому что раз уж пароль сохранён, то программа должна иметь возможность его расшифровать, а раз она это умеет, то и кто угодно сумеет.
Альтернатива — закрытие базы с паролями мастер-паролем, который НЕ ХРАНИТСЯ, а вводится каждый раз юзером заново. Но юзеры сразу начнут плакать, что это неудобно.
Что до вирусов, то полно вирусов, которые охотятся за паролями фара, winscp, cuteftp и прочих популярных FTP-клиентов, которые пароли в открытом виде не хранят. Тем не менее, их вовсю таскают — именно потому что раз уж пароль сохранён, то программа должна иметь возможность его расшифровать, а раз она это умеет, то и кто угодно сумеет.
Альтернатива — закрытие базы с паролями мастер-паролем, который НЕ ХРАНИТСЯ, а вводится каждый раз юзером заново. Но юзеры сразу начнут плакать, что это неудобно.
интерсено, почему тогда перечисленные FTP-клиенты не хранят пароли в текстовых файлах. Если нет никакой разницы.
потому, что их авторы не подумали о бесполезности этого шифрования
даже из защищённого хранилища WIndows можно пароли вытащить — хотя исходников его ни у кого нет
даже из защищённого хранилища WIndows можно пароли вытащить — хотя исходников его ни у кого нет
Спрашивайте у них. В нашем случае важно то, что от краж паролей это ни фига не спасает. Все вирусные ифреймы в интернете — дело рук как раз вот этих вирусов, сборщиков паролей от FTP.
Я немного шокирован.
ну вы поняли куда я клоню?
это одна из причин, по которой я никогда не сохраняю паролей =)
вторая — я по крайней мере их запоминаю, так что не возникает проблем, когда нужно зайти с другого места.
на мой взгляд, безопаснее хранить пароли в текстовых файлах =)
вторая — я по крайней мере их запоминаю, так что не возникает проблем, когда нужно зайти с другого места.
на мой взгляд, безопаснее хранить пароли в текстовых файлах =)
UFO just landed and posted this here
3) Менее всего опасно в Linux, так этот файл находится в домашней папке, доступ к которой разрешен, по умолчанию, только хозяину этой папки.
подправьте — пользователю и root'у\пользователю с фактическими правами root'a. Как то так)
В общем root сможет попасть в любое место локальной ФС, как бы владелец этого места не противился.
подправьте — пользователю и root'у\пользователю с фактическими правами root'a. Как то так)
В общем root сможет попасть в любое место локальной ФС, как бы владелец этого места не противился.
UFO just landed and posted this here
UFO just landed and posted this here
Эх жаль.
Нет идеального Интернет мессенджера. =(
Нет идеального Интернет мессенджера. =(
Sign up to leave a comment.
Хранение паролей в Pidgin IM