LINUX.ORG.RU

Утечка паролей для SMB Shares in KDE's Konqueror


0

0

Opening the URL "smb:/" in Konquerer allows KDE users to browse the
local network for SMB shares.
The created desktop icon will be given a name (and address) following
this scheme:
smb://domain\username:password_at_server \sharename.
The password can be read in plaintext by an attacker.

>>> Подробности



Проверено: maxcom ()

В смысле на десктопе у пользователя создаётся сцылка с названием домена, именем пользователя и паролем? а уязвимость в том, что некий мерзавец может прокрасться к машине, когда пользователь отвлёкся и тайком посмотреть его логин и пароль в десктопной ссылке? фигня, имхо, если юзверь блокирует десктоп, когда уходит куда-нибудь... щас сбежится толпа анонимных мегакульхацкеров и начнёт КДЕ фекалиями поливать и пиписьками меряться

dr-yay ★★
()
Ответ на: комментарий от dr-yay

IMHO

Большинсво пользователей КДЕ - ламеры, которые не подозревают, что у них

могут украсть пароль.

Sun-ch
() автор топика

Странно, что они не пофиксили и ничего толком товарищу не ответили, ведь эта ошибка для них характерна (для KDE-писателей).

Года два назад я им отписал про следующую уязвимость: когда заходишь на интранет WEB-ресурс с аутентификацией, а потом делаешь Сервис->Проверить правильность WEB-страницы->Проверить правильность кода HTML, то он полный URL с username/password передает в качестве параметра на www.w3c.org. Потом было тоже самое с переводчиков (всё то же меню Сервис).

В одном я почти уверен - в KDE никто целенаправленно не разрабатывал концепцию безопасности программного комплекса, есть просто программисты KDE, которые в своих кусках кода реализуют известные им технологии безопасности. Да и то, криво IMHO (например, до сих пор не могу найти, как сделать подписывание сообщение в KMail не GPG, а через X.509 сертификаты, хотя поиск показал, что это уже реализовано).

saper ★★★★★
()
Ответ на: комментарий от dr-yay

вообщето для хранения паролей есть бумажник в кде. а такую фигню можно и в CDE провернуть хоть с сцылкой на фтп. народ не ведитесь. это очередная попытка уссаныча поднять собственное настроение после осеннего обострения

anonymous
()
Ответ на: комментарий от saper

> не могу найти, как сделать подписывание сообщение в KMail не GPG, а через X.509 сертификаты

Это в KDE >= 3.3

anonymous
()

А есть ещё такая вот уязвимость, практически во всх осях... это когда имена пользователей, в том числе и привелегированных, вместе с паролями можно в документе собрать да и выложить куда-нить, хоть на десктоп, ноть на ftp-шник, а то и вовсе в спам рассылки по миру включить,.. чего уж там мелочиться.. от дурной головы лишь одно верное лекарство сусчествует - топор ;-)))

MiracleMan ★★★★★
()

$ cat .fetchmailrc
poll pop.server.org protocol pop3 username MY_PLAIN_USERNAME is LOCALUSER here password "MY_PLAIN_PASSWORD"

этта.. fetchmail тоже уязвим?

logIN
()
Ответ на: комментарий от logIN

Так то уж не пишите, подумайте про простого пользователя, который такую сслыку положен на рабочий стол, ссылка сократится (укоротится или частично будет закрыта окном) и не будет видно всего пароля, а только допустим начало. Но факт фактом - простой пользователь может не догадаться, а злоумышленник может воспользоваться. Так что по-любому уязвимость.

Что касается .fetchmailrc - не рабочем же столе в виде текста лежит... Да и админ его настраивает, простой пользователь я думаю с трудом его освоит.

saper ★★★★★
()
Ответ на: комментарий от chucha

чукча ты повторяешься. пластинку заело? :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.