Сохранить пароль в gui где галочка, где хранить?

0

2

В графических приложениях например есть такая функция, как сохранить логин и пароль, чтобы не вводить его повторно, так же есть например автовход. Где можно хранить эти данных?

Ссылка

←	Нарисовать зависимости в проекте

SkypeWeb Plugin for Pidgin.

→

Поищи в сторону gnome-keyring.

endeneu13
(08.02.17 18:30:26 MSK)

Ссылка

некоторые в нике хранят, остальные либо в сторонних приложениях, например kdewallet (и то что тут выше написали), другие в конфигах в зашифрованном или не очень виде

с другой стороны если сервер грамотно сделан то он должен уметь выдавать токены - тогда хранят их, а не пароль, это безопаснее

Deleted
(08.02.17 18:32:59 MSK)

Ссылка

Не ищи в сторону gnome-keyring

mittorn ★★★★★
(08.02.17 18:33:30 MSK)

Ссылка

Не рекомендую искать в сторону gnome-keyring.

~~reedych~~
(08.02.17 18:41:20 MSK)

Сохранить пароль в gui где галочка, где хранить?

книги о программировании я могу найти где

ЗЫ man keyring :)

~~mos~~ ★★☆☆☆
(08.02.17 18:49:13 MSK)

Ссылка

Ответ на: комментарий от reedych 08.02.17 18:41:20 MSK

Нулевая ценность сообщения. Может аргументы какие будут?

endeneu13
(08.02.17 18:52:38 MSK)

Ответ на: комментарий от endeneu13 08.02.17 18:52:38 MSK

Вот скажи, после ввода мастер-пароля, ведь любая программа может прочитать любой пароль?

Deleted
(08.02.17 18:55:33 MSK)

file:///usr/share/gtk-doc/html/libsecret-1/c-examples.html

surefire ★★★
(08.02.17 19:11:23 MSK)

Ссылка

Ответ на: комментарий от endeneu13 08.02.17 18:52:38 MSK

Лишняя зависимость ради одной мелкой возможности, которую можно быстро реализовать самостоятельно. Я понимаю, нынче легковесность не в моде, но совсем же охреневать не надо.

anonymous
(08.02.17 19:54:41 MSK)

Ссылка

Ответ на: комментарий от Deleted 08.02.17 18:55:33 MSK

Вот скажи, после ввода мастер-пароля, ведь любая программа может прочитать любой пароль?

А я, кстати, даже никогда не задумывался над этим. А в КДЕ не так? Как КДЕ определяет какому процессу какие пароли выдавать?

morse ★★★★★
(08.02.17 20:06:01 MSK)

Ответ на: комментарий от morse 08.02.17 20:06:01 MSK

Хз, и там и там есть некие «ограничения», но я так и не понял как они в принципе работают, если можно запустить гуйню и увидать все пароли открытым текстом

Deleted
(08.02.17 20:10:20 MSK)

Ответ на: комментарий от Deleted 08.02.17 18:55:33 MSK

Йеп. После авторизации пользователя keyring анлочится и ключи из него может получить любая программа, запущенная от имени этого пользователя. Хочешь сказать, что несесурно? Тогда почему-то хромиум, при наличии gnome-keyring в системе, выбирает его в качестве хранилища паролей. Сомневаюсь, что хромиум пилят глупые люди.

Алсо, огнелис хранит пароли через свой механизм. Шифрует их симметричным ключём, который рядышком сохраняет в плеинтексте, лол.

endeneu13
(08.02.17 20:29:02 MSK)

Ответ на: комментарий от endeneu13 08.02.17 20:29:02 MSK

хромиум пилят глупые люди.

слепая вера в авторитеты, нда, храни пароли в плейнтексте дальше

заодно давай хромиуму возможность читать из него все твои пароли разом 8)

Deleted
(08.02.17 20:30:44 MSK)

Ссылка

Ответ на: комментарий от endeneu13 08.02.17 18:52:38 MSK

внезапно, его может не быть на машине. у меня вот его нет. если программа будет тащить за собой гномятину - многие юзеры откажутся от её использования.

Iron_Bug ★★★★★
(08.02.17 20:52:20 MSK)

Ответ на: комментарий от endeneu13 08.02.17 18:52:38 MSK

Зависимость от пол-гнома

mittorn ★★★★★
(08.02.17 21:33:01 MSK)

Ответ на: комментарий от morse 08.02.17 20:06:01 MSK

У кде своя связка ключей

mittorn ★★★★★
(08.02.17 21:34:34 MSK)

Ссылка

Ответ на: комментарий от mittorn 08.02.17 21:33:01 MSK

Зависимость от пол-гнома

Если исходить из установки гномовской библиотеки libgnome-keyring и гномовского демона gnome-keyring, то я вижу только один гномовский демон в зависимостях: gcr. По сравнению со всем гномом, это просто ничего.

gag ★★★★★
(08.02.17 21:57:33 MSK)

зависит от того, где хранятся данные приложения, которые пытаемся защитить

zudwa ★
(08.02.17 22:23:55 MSK)

Ссылка

Ответ на: комментарий от gag 08.02.17 21:57:33 MSK

оно gtk3 потянет с десятком либ

mittorn ★★★★★
(08.02.17 22:40:27 MSK)

Ответ на: комментарий от mittorn 08.02.17 22:40:27 MSK

Т.е. не гном. А gtk, потому что надо же этот пароль как-то вводить, т.е. через gui. От glib и qt зависит. А в той десятке либы точно совсем нерелевантные?

gag ★★★★★
(08.02.17 23:05:41 MSK)

Ответ на: комментарий от gag 08.02.17 23:05:41 MSK

Я уже не помню, но полгода назад мне приходилось править ебилды чтобы от них избавиться. А glib то и так везде есть, если программа нацеливается на десктопный линукс.

mittorn ★★★★★
(08.02.17 23:31:49 MSK)

Ссылка

Ответ на: комментарий от endeneu13 08.02.17 20:29:02 MSK

Алсо, огнелис хранит пароли через свой механизм. Шифрует их симметричным ключём, который рядышком сохраняет в плеинтексте, лол.

Шифрованье по идее для того, чтобы можно было в настройках Master Password задать, который, опять же по идее, никуда не сохраняется.

d_a ★★★★★
(08.02.17 23:56:52 MSK)

Ссылка

если софтина закрытая, то можно зашифровать своим ключом - хоть какаято защита от дурака
если открытая то можешь ознакомится с позицией в этом вопросе от пиджина https://developer.pidgin.im/wiki/PlainTextPasswords

x905 ★★★★★
(09.02.17 11:19:15 MSK)

Ответ на: комментарий от endeneu13 08.02.17 20:29:02 MSK

Алсо, огнелис хранит пароли через свой механизм. Шифрует их симметричным ключём, который рядышком сохраняет в плеинтексте, лол.

Пруф?

eugeno ★★★★★
(09.02.17 11:49:35 MSK)

Ответ на: комментарий от x905 09.02.17 11:19:15 MSK

Безопаснее не хранить пароли в софтине, а не спорить: хранить его PlainText или шифровать.

mandala ★★★★★
(09.02.17 12:13:42 MSK)
Последнее исправление: mandala 09.02.17 12:13:54 MSK (всего исправлений: 1)

Ответ на: комментарий от eugeno 09.02.17 11:49:35 MSK

Тыц.

Если в кратце, то в key3.db хранятся зашифрованные пароли. Ключи для расшифровки в logins.json. Оба файла можно просто скопировать себе, чтобы украсть пароли жертвы.

endeneu13
(09.02.17 12:20:41 MSK)

Ответ на: комментарий от Iron_Bug 08.02.17 20:52:20 MSK

Мне нравится, как ведёт себя хромиум. Там kwallet и gnome-keyring это опциональные записимости. Если что-то есть в системе, то оно и используется для хранения паролей. Если ничего нет, фолбечится на внутренний механизм.

endeneu13
(09.02.17 12:23:28 MSK)

Ссылка

Ответ на: комментарий от mandala 09.02.17 12:13:42 MSK

безопаснее, но неудобно
вопрос ведь именно в удобстве

x905 ★★★★★
(09.02.17 12:28:13 MSK)

Ссылка

Ответ на: комментарий от endeneu13 09.02.17 12:20:41 MSK

Тыц.
Если в кратце, то в key3.db хранятся зашифрованные пароли. Ключи для расшифровки в logins.json. Оба файла можно просто скопировать себе, чтобы украсть пароли жертвы.

Во-первых, наоборот. Во-вторых, ключи тоже зашифрованы. И зашифрованы именно мастер-паролем, который есть только у тебя в голове. Читай здесь:

http://raidersec.blogspot.co.uk/2013/06/how-browsers-store-your-passwords-and...

Хотя, конечно, это не защищает от ССЗБ, которые используют слабый мастер-пароль или вообще его не используют.

eugeno ★★★★★
(09.02.17 13:39:08 MSK)
Последнее исправление: eugeno 09.02.17 13:42:55 MSK (всего исправлений: 1)