А почему бы и нет? Всё лучше чем plain text. А то, что шифрование обратимое - это и ежу понятно

Ежу понятно ещё и то, что Psi - OpenSource. А значит, почитав исходники, можно расшифровать пароль без какого-либо взлома.

Любой обратимое шифрование можно расшифровать - с открытыми исходниками это просто гораздо проще. Другое дело то, что нужно применить чуть больше усилий чем 'cat accounts.xml | grep password'

Что за виндузятничество?

виндузятничество - это хранить пароли в плейнтексте

А в каком там виде-то? Может там обычный base64 :)

Чтобы так не делать, у программы должна быть возможность не вводить этот самый пароль для логина. Следовательно, сервер должен предоставлять возможность генерации временных токенов для пользователя, по которым тот и может входить в свой аккаунт. Тогда злоумышленник, даже похитив один токен, сможет юзать аккаунт лишь непродолжительный промежуток времени (скажем, месяц). Соответственно, смена учётных данных по токену производиться не должна.

И что, тот же Jabber так умеет?

Так там хэш, не?

А почему бы и нет? Всё лучше чем plain text. А то, что шифрование обратимое - это и ежу понятно

чем лучше? Тем что юзер при попытке вспомнить пароль заимеет тучу секса?

виндузятничество - это хранить пароли в плейнтексте

нет. виндузятничество - это попытка пускания пыли в глаза и создания костылей там, где они совершенно не нужны. И даже мешают.

Чтобы так не делать, у программы должна быть возможность не вводить этот самый пароль для логина.

чтобы так не делать достаточно просто хранить пароль в plain text. Или использовать другие решения, вроде kpassword или как там его.

А это какой-то костыль, который ничего не решает, а только создает лишний геморрой.

Так там хэш, не?

не. Там тривиальное преобразование 1:1

не. Там тривиальное преобразование 1:1

А, ну да, это же не сервер… Ну, в любом случае заставить какера попотеть над поиском алгоритма лучше, чем сдавать пароль сразу.

Другое дело то, что нужно применить чуть больше усилий чем 'cat accounts.xml | grep password'

такое может возникнуть в двух случаях

1. юзер забыл пароль и хочет его восстановить.

То есть юзер получает баттхерт

2. данный файл быз стырен.

очевидно, что «злоумышленник» его расшифрует без особых проблем.

Так ради чего это все? Для получения баттхерта?

А, ну да, это же не сервер… Ну, в любом случае заставить какера попотеть над поиском алгоритма лучше, чем сдавать пароль сразу.

абасрацца. Попотеть - это вбить psi password recovery в гугле.

да даже если и не вбивать. скачать сырцы и найти функцию decodePassword() не трудно.

А в результате потеют юзеры.

3. Кореш попросил ноут и ради прикола списал все пароли.

. Кореш попросил ноут и ради прикола списал все пароли.

Я думаю, что если кореш знает где их искать, то у него также хватит интеллекта их и расшифровать.

Интеллекта мож и хватит, а вот мотивации может не хватить. Ставка делается на лень.

А у меня в emacs-jabber пароль хранится в голове. Но чтобы его каждый раз не вводить, я использую password.el. Один раз за сессию при коннекте ввел пароль, emacs его на сессию запоминает и при переконнекте пароля не просит. На диске никаких паролей вообще нет.

У тебя в емаксе тоже нужно отключать sasl чтобы он мог подключиться? Если нет, поделись конфигурационным файлом пожалуйста.

У меня (:connection-type . ssl) и все. Сервер jabber.ru.

Были у кого-то проблемы, но так и осталось неясным, осталась ли проблема. На момент того вопроса у меня все работало ОК. И сейчас коннектит без проблем.

Проблема осталась, но решается удаляем (:network-server) и/или (:connection-type . ssl). Спасибо!

Security through obscurity

Сабж.

Действительно не понятно. При живом org.freedesktop.secrets и ядерных кейчейнах

А вот Бернерс-Ли кирпичами срет от того, что Хром пароли незашифрованными хранит.

забыл пароль и хочет его восстановить ... получает баттхерт

«злоумышленник» его расшифрует без особых проблем

Что мешает юзеру расшифровать без особых проблем и баттхерта?

тем что для юзера это проблемы и баттхерт, а для какира в в порядке вещей.

Я офигеваю над вам, ну давай будем писать открытым текстом их фигле, ЛЕГКО РАСШИФРРОВАТЬ прям легко ага щяззз, а если я раза 3 пройдусь gpg -c тем же, потом в base64 и ещё раз gpg + ещё чего нибудь хрен ты чего там расшифруешь.

Я думаю, что если кореш знает где их искать, то у него также хватит интеллекта их и расшифровать.

Ой не факт. Пси в этом смысле плохой пример, так как никому не нужен. А вот если в файерфоксе не установлен мастер-пассворд, то пароли от сайтов может посмотреть любой человек с интеллектом обезъяны. Для этого не нужно копировать профиль на флэшку, нужно лишь попросить: «О дружбан, дай-ка почту проверю» и пока дружбан любезно отвернулся, ты хопа-хопа и кликнул в менюшку и увидел пароли.

Я офигеваю над вам, ну давай будем писать открытым текстом их фигле, ЛЕГКО РАСШИФРРОВАТЬ прям легко ага щяззз, а если я раза 3 пройдусь gpg -c тем же, потом в base64 и ещё раз gpg + ещё чего нибудь хрен ты чего там расшифруешь.

расшифрую. Просто возьму ту же функцию decodePassword() :)

Ой не факт. Пси в этом смысле плохой пример, так как никому не нужен. А вот если в файерфоксе не установлен мастер-пассворд, то пароли от сайтов может посмотреть любой человек с интеллектом обезъяны. Для этого не нужно копировать профиль на флэшку, нужно лишь попросить: «О дружбан, дай-ка почту проверю» и пока дружбан любезно отвернулся, ты хопа-хопа и кликнул в менюшку и увидел пароли.

и это правильно.

Человек должен знать, что пароли узнать легко, если не стоит нормальной системы защиты.

Ну теоретически можно всё :)

На, расшифровывай :)

akEwRUF3TUNlWVNRenVPY2JPZGd5WWVpc3ZkemFRcHBSTnNrYTJRaE40YkE5MDhGUDdCYW5jdzNE
VGVxeU10ZnRDUGNVZGFsSEVkYwpGeGd4dHgzWlowYTNFK1dCYVFZK08veTZHYks0TWtVWUFBaEky
T25qN21iaVRReGkzL0xoUFNCaHNrSFMvMUNDODRKT29zQWFrOGJrCmQ1NjR2NGpXNDNVcVk3ZHVP
TktNaFdJRGhrZlF3elUrOVl0L2J3ODJtVDhhOGtyV2pXdz0K

Использовал gpg + base64 пароль из трёх цифр

akEwRUF3TUNlWVNRenVPY2JPZGd5WWVpc3ZkemFRcHBSTnNrYTJRaE40YkE5MDhGUDdCYW5jdzNE

VGVxeU10ZnRDUGNVZGFsSEVkYwpGeGd4dHgzWlowYTNFK1dCYVFZK08veTZHYks0TWtVWUFBaEky T25qN21iaVRReGkzL0xoUFNCaHNrSFMvMUNDODRKT29zQWFrOGJrCmQ1NjR2NGpXNDNVcVk3ZHVP TktNaFdJRGhrZlF3elUrOVl0L2J3ODJtVDhhOGtyV2pXdz0K

покажи _код_ шифровальщика.

и открытый ключ вместе а закрытым тоже покажи.

Исходники gpg и base64 найти думаю сам сможешь :) Да не реально это одному я прошёлся как то так gpg -c ./file ; cat ./file.gpg |base64 > file; gpg -c ./file......... и так далее, количество проходов большое по мимо того какой пароль нужно ещё последовательность шифрования воспроизвести а это уже большой гемор. Сложно это в общем и не для одиночки, хотя в теории можно и всковырнуть содержимое, но уйдёт времени больше чем уйдёт времени с обычным паяльником и пассатижами и прочими игрушками.

Приколист :)

Приколист :)

че приколист-то. В psi+ и «ключи» и алгоритм в одной функции содержатся. А ты мне брутфорс какой-то предлагаешь.

Пароль всего 3 цифры для gpg, а вот последовательность действий

dron@nix:~$ gpg -c '/home/dron/Рабочий стол/000' 
dron@nix:~$ cat '/home/dron/Рабочий стол/000.gpg'  | base64 > ./000
dron@nix:~$ gpg -c '/home/dron/000' 
dron@nix:~$ gpg -c '/home/dron/000.gpg' 
dron@nix:~$ cat '/home/dron/000.gpg.gpg' | base64 |base64
akEwRUF3TUNlWVNRenVPY2JPZGd5WWVpc3ZkemFRcHBSTnNrYTJRaE40YkE5MDhGUDdCYW5jdzNE
VGVxeU10ZnRDUGNVZGFsSEVkYwpGeGd4dHgzWlowYTNFK1dCYVFZK08veTZHYks0TWtVWUFBaEky
T25qN21iaVRReGkzL0xoUFNCaHNrSFMvMUNDODRKT29zQWFrOGJrCmQ1NjR2NGpXNDNVcVk3ZHVP
TktNaFdJRGhrZlF3elUrOVl0L2J3ODJtVDhhOGtyV2pXdz0K
dron@nix:~$ 

А кто сказал что я буду по правилам играть? ;)

Хотя сори я и забыл что мы про psi говорим. Тогда мне уже не интересно.

бгг. Тред не читай - сразу отвечай %)

:) Да я забылся просто. Ну, а так да косяк :)

А вот если в файерфоксе не установлен мастер-пассворд, то пароли от сайтов может посмотреть любой человек с интеллектом обезъяны

ты не представляешь насколько я обрадовался, когда увидел, что в FF можно беспроблемно посмотреть пароли. Это мне не раз пригодилось уже.

Человек дело говорит. Откуда вы, собственно, знаете алгоритм? Из открытого исходного кода? А если я сам, взял, написал собственную функцию шифрования 1:1, заменил её телом тело encodePassword(), перекомпилировал - и так и пользуюсь? Ну давайте, расшифровывайте, не зная алгоритма.

Более того, на самом деле, мне даже функцию писать не нужно, а просто поменять в исходниках данные одного-единственного массива констант.

более того, при желании можно сделать, чтобы они генерировались в compile-time, правда в этом случае просто скопировать данные на свой новый хост не удастся, ну и юзеров бинарных дистров это тоже не спасет.

и юзеров бинарных дистров это тоже не спасет

но чуть больше геммороя злоумышленнику всё-таки добавит, и если это не хацкер, а просто знакомый пароли скопировал, то может даже и не нагуглить, в чём дело

А если я сам, взял, написал собственную функцию шифрования 1:1, заменил её телом тело encodePassword(), перекомпилировал - и так и пользуюсь?

если так, то конечно все меняет дело.

К безопасности нельзя подходить бинарно «взломает» или «не взломает». Нужно разделять атаки на разные виды и защищаться от тех, которых возможно в данных условиях.

Даже проставление файлу атрибута «hidden» позволит защититься от простого пользователя, например, жены. А ущерб от раскрытия информации атакующей жене может быть высок.