Шифрование паролей в pidgin

0

1

Недавно обнаружил, что в пиджине пароли никак не зашифрованы, лежат в xml-файле - только открывай и смотри. Такой подарочек для взломщиков:(
Однако каждый раз вводить по пять паролей мне как-то лениво. Поэтому первое, что пришло в голову - зашировать этот xml-файл при помощи gnupg.
В итоге получился скрипт, который я и выставляю на критику публики.

#!/bin/sh

# XML accounts data file
password_file=accounts.xml

# Encrypted $password_file
crypted_file=accounts.xml.gpg

# Reserve copy
crypted_file2=accounts.copy.xml.gpg

cd ~/.purple/
# If the directory has file encrypted by gpg
if [ -f $crypted_file ]
then
  gpg --default-recipient-self --decrypt-files $crypted_file
  rm -f $crypted_file
# Or if it hasn't.
else
  cp $crypted_file2 $crypted_file
  gpg --default-recipient-self --decrypt-files $crypted_file
  rm -f $crypted_file
fi

pidgin
# If the directory has the $password_file
if [ -f $password_file ]
then
  gpg --default-recipient-self --encrypt-files $password_file
  rm -f $crypted_file2
  cp $crypted_file $crypted_file2
  rm -f $password_file
  cd ~/
fi

Единственное, что плохо - файл с паролями зашифруется только после того, как выйти из пиджина. То есть если вы в онлайне, то пароли по-прежнему открыты.

Ссылка

←	Tracking Cookies

Что за сервис k3software-svr

→

Ознакомся с http://developer.pidgin.im/wiki/PlainTextPasswords , кулхацкер

Having our passwords in plaintext is more secure than obfuscating them precisely because, when a user is not misled by a false sense of security, he is likely to use the software in a more secure manner.

Для Ъ: по ссылке список из очень много клиентов, которые обфусцируют сохраняемый пароль, но не обеспечивают безопасность его хранения, а также совет не сохранять пароли

anonymous
(10.08.12 20:15:15 MSK)

Ответ на: комментарий от anonymous 10.08.12 20:15:15 MSK

Ну и раз ты настолько пытлив, почитай https://www.pgpru.com/novosti/2008/javnyeparolivoperativnojjpamjatipovsemestny , и напиши ещё с десяток скриптов или патчей для linux

anonymous
(10.08.12 20:17:39 MSK)

А чем libpurple-kwallet-plugin, pidgin-gnome-keyring не угодили?

Kuzz ★★★
(10.08.12 20:23:45 MSK)

Ссылка

используй шифрованные ФС

i-rinat ★★★★★
(10.08.12 21:00:50 MSK)

Ссылка

Буду краток - не нужно.

segfault ★★★★★
(10.08.12 23:07:24 MSK)

Ссылка

Ответ на: комментарий от anonymous 10.08.12 20:17:39 MSK

и напиши ещё с десяток скриптов

Не претендую на звание гуру. Я же написал, что реализовал первую пришедшую в голову идею.

А чем libpurple-kwallet-plugin, pidgin-gnome-keyring не угодили

Первой оказалась идея не о libpurple-kwallet-plugin и pidgin-gnome-keyring, а именно о gnupg.

Буду краток - не нужно

В практическом плане - да. Но вообще, пилить велосипеды - это довольно увлекательно.

hedgehog_alex
(11.08.12 10:13:24 MSK) автор топика

Ссылка

Недавно обнаружил, что в пиджине пароли никак не зашифрованы, лежат в xml-файле - только открывай и смотри. Такой подарочек для взломщиков:(

Наоборот - забыл пароль, открыл файлик и глянул. А если оно там их шифрует как-то, добавляется куча проблем. Очень правильное решение. А тем, кто может шастать по жёсткому диску, никакое шифрование (в том числе предлагаемое) не помешает.

~~Legioner~~ ★★★★★
(11.08.12 10:20:23 MSK)

Ответ на: комментарий от Legioner 11.08.12 10:20:23 MSK

А тем, кто может шастать по жёсткому диску, никакое шифрование (в том числе предлагаемое) не помешает.

Пятизвёздочный, а несёт такую чушь.

Безопасность не бинарна. Взломать могут, допустим, только браузер или скрипт в хомяк на автовыполнение положить. Эти вещи есть шанс заметить и почистить до вылова рутового пароля. Поэтому криптоконтейнеры для ключей эффективны против такой атаки. А всякие пароли от keyring и рута вообще надо переводить на программно-аппаратный уровень. Карту не вставил - пароль не принялся.

anonymous
(11.08.12 11:20:39 MSK)