Видео ролики бесплатно онлайн

Смотреть супер видео

Официальный сайт goldsoftware 24/7/365

Смотреть видео бесплатно

28.09.09 00:45 exelens

Есть вопрос!О безопасности IM клиентов

Попалась на глаза заметка о том, что Pidgin хранит пароли от аккаунтов в текстовом виде.
Раньше мигрируя с Линукса на Линукс об этом как то не думал... Хотя знал, что могу посмотреть пароль если его забуду в файле accounts.xml

Другие IM клиенты тоже так хранят?



Username 28.09.09 01:05 # +6
копыто хранит в бумажнике KDE - вроде там не plain text.

А хотя сам факт хранения простым текстом не так уж плох - лишь бы права на чтение были только у владельца
Kraplax 28.09.09 06:59 # +0
Да, в KDE4 все пароли имеют два способа хранения - plain text в файле конфигурации, либо в бумажнике KDE. Естественно, второй способ куда более безопасен и предпочтителен. При этом нужно помнить только один пароль от бумажника, а остальные будут доступны автоматически.
Что еще удобно - я никогда не разрешаю доступ приложениям просто так. Ну, то есть каждый раз при запросе программы на открытие бумажника я жму "Да, позволить один раз". В таком случае, если программа попытается что-то сделать с моим паролем и опять полезет в бумажник - я буду знать и смогу принять решение о санкционированности ее действий.
nobodyzzz 28.09.09 08:55 # +0
ну вообще говоря, если пароли и не хранятся в открытом виде, то в большинстве случаев они зашифрованы по какому-либо из симметричных алгоритмов, безопасность которых целиком определяется секретностью ключа, а т.к. ни о какой секретности ключа речь не идет(должна же программа как-то расшифровывать сохраненные пароли =)), то большой разницы что хранить пароли в открытом виде что в зашифрованном нету.
Username 28.09.09 10:16 # +0
разница большая. Если ты - взломщик, тебе нужно пароль достать. Если ты достаешь файл с паролем в простом виде, то все, он у тебя есть. А попробуй сделать cat /etc/shadow
 


и вот назови мой пароль теперь %)
Username 28.09.09 10:16 # +0
твою налево...
danya:$6$0yy/e/91IYUyfM$y/DlGQfTYiEbciVJ1cDrvL0leQCBi4AGJxdwmTFa966fSSv.zXBK1q/HI/50BCECfUgrtPylS1IAG9x0
muhas 28.09.09 10:49 # +0
в shadow не храниться пароль, а храниться только односторонний хеш который обратно в пароль не преобразуется, а в им клиентах обычно наоборот =)
хотя да права 600 im помагают
muhas 28.09.09 10:50 # +0
PS. да и для im чаcто не надо пароль, а нужно только доступ к акку ^_^
Username 28.09.09 14:23 # +0
погоди, а как тогда в клиентах шифруется? какой там алгоритм?
muhas 28.09.09 15:12 # +0
каким-то простым алгоритмом из открытого текста в зашифрованный гоняется...
Username 28.09.09 15:51 # +0
не, ну хеши тоже простым алгоритмом создаются. Фишка в том, что обратный алгоритм хуй проссышь сложный. Это же принцип надежных шифров, которыми криптографы сами себя в зад завели.
muhas 28.09.09 16:00 # +0
ну так в им гоняются туда сюда => он шибко простой...
Murz 28.09.09 17:23 # +0
IM-программе для того чтобы залогинится в онлайн - нужно пароль передать IM-серваку в расшифрованном виде, т.е. прочитать оригинал. Поэтому сложный алгоритм расшифровки будет тормозить запуск программы, в результате он не подходит. Поэтому единственный вариант - шифровать все сохранённые пароли одним мастер-паролем который спрашивать при старте. kwallet в kde именно так и работает, у гнома тоже что-то подобное есть.
zivot_je_cudo 28.09.09 11:52 # +0
Джон Риппер будет работать как минимум месяца два, Боб Бутчер побыстрее, но делить не с кем. Ну его фтопку.
nobodyzzz 28.09.09 11:11 # +0
Разница примерно как между простой дверью без замка с дверью на щеколде =)))
Username 28.09.09 14:24 # +0
взломай вот хеш выше. Сравним.
Кулхацкерингу - бой!
zivot_je_cudo 29.09.09 09:33 # +0
Ладно, так и быть, я для интересу поставил.
В конце осени, может быть, вспомним об этом.
zivot_je_cudo 29.09.09 09:52 # +0
Какой это хеш?)
evgenyl 29.09.09 12:04 # +0
sha512 не Джон Риппер не Боб Бутчер его не поддерживают :D
or10n 28.09.09 11:16 # +-1
а вот мне почему то казалось, что большинство программ, а также веб-сервисов, хранят не сам пароль, а его хеш, и при вводе преобразуют введенно в хеш и сравнивают
nobodyzzz 28.09.09 11:34 # +0
проверка валидности пароля и его хранения несколько разные задачи, не находишь?
Username 28.09.09 14:24 # +0
не находишь, что пароль в принципе создан для того, чтобы его проверять, не?
muhas 28.09.09 15:15 # +1
он видимо к тому что допустим сайты хранят все пароли в md5 (остановимся на нем, соли sha1 и прочее рассматривать не будем), пользователь их вводит открытым текстом, но вот сайт этот открытый текст гонит в md5 и далее уже сравнивает только md5 а на реальный пароль ему пофигу.
но это никак не влияет на то что юзверю вводить пароль надо открытым текстом, т.е. и хранить для этого он его должен так же (либо из шифра переводить в этот самый открытый текст)
Kraplax 29.09.09 08:31 # +0
Это все понятно, но мне всегда было интересно - а как тогда работает фича "восстановление пароля"? Где-то же он, значит, хранится?
xT 29.09.09 08:38 # +0
Фича "восстановление пароля" по нормальному работает так - юзеру на почту пишется письмо с просьбой подтвердить восстановление пароля, при согласии генерируется новый пароль и отправляется юзверю, хэш сохраняется в базу вместо старого
Или ты про восстановление пароля в асику?
muhas 29.09.09 11:07 # +0
у всех по разному, либо как сказал xT, либо приходит открытым текстом старый пороль, но это позволяет усомниться в безопасности сервиса ^_^
evgenyl 28.09.09 14:26 # +0
Если говорить о безопасности, то наилучший вариант, не сохранять его вообще.
muhas 28.09.09 15:13 # +1
а каждый раз вводить отдавая кейлогерам =)
evgenyl 28.09.09 15:18 # +-1
вы этот кейлогер под линуксом найдите еще :)
muhas 28.09.09 15:50 # +0
xneur научился логировать текст набираемый => и без него можно это делать
я кстати и под винду кейлогера не найду =)
evgenyl 28.09.09 16:02 # +1
В любом случае получить доступ к твоему профилю, намного проще, чем чтото запустить и чтобы ты этого не заметил.

под винду они сами тебя найдут :)
muhas 28.09.09 16:36 # +0
это да. хотя помниться был баг в dns протоколе, можно было не подписанные репы подменять =)
как гриться возможно всё
evgenyl 28.09.09 16:42 # +0
согласен
Username 28.09.09 18:55 # +1
хых

запрос ПОРНО СКОЧАТ БЕСПЛАТНО МП3 ИЛЬХАМ ЗЮЛЬКОРНЕЕВ - стопицот найдешь и установятся в один клик!
Username 28.09.09 15:52 # +0
и еще попробуйте поставить без геммороя. Наверняка kdelibs5 потянет
evgenyl 28.09.09 16:04 # +0
точно !!!
MagoBuono 29.09.09 12:48 # +0
Что любопытно, есть еще вариант вообще не хранить пароли в IM. Я вот от этого не страдаю, например :)
spyfzm 30.09.09 14:27 # +0
Если требется подключаться к серверам при запуске программы вообще без ввода каких-либо паролей, то хоть что-то должно храниться открыто - хоть отдельно все пароли, хоть пароль от профиля программы, хранящего пароли защифрованными.
И это не только в линуксе так, так везде)
Даже KWallet требует один раз ввести пароль руками, при старте.
Нужно или соблюдать общую бдительность (:) , блокировать экран, отходя от компа, не давать никому ssh доступ с правами чтения вашей ~, или не заморачиваться так.

Лучшие блоги (все 55)
Топ пользователей Топ блогов
Топ пользователей Топ блогов
Элита (все 1192 из 89 городов)
Топ пользователей Топ блогов

Новенькие: Cheshire cat, ri4, weiss, Hexs, kapsh
welinux.ru

В хорошем качестве hd видео

Онлайн видео бесплатно


Смотреть русское с разговорами видео

Online video HD

Видео скачать на телефон

Русские фильмы бесплатно

Full HD video online

Смотреть видео онлайн

Смотреть HD видео бесплатно

School смотреть онлайн