Pacifick_FR42
Bonjour à tous !
Tout est dans le titre.. 🙂
En effet, dans le répertoire /$HOME/.purple/accounts.xml, le mot de passe est afficher en clair !!
Pour AMSN, meme profile, mais là le mot de passe est crypter... hummm... est-ce que quelqu'un sait si c'est "facile" à décrypter ? ou bien est-ce assez sécurisé ?
Pacifick_FR42
J'aimerai connaître votre avis 🙂
Pacifick_FR42
Petit up 🙂
Hoper
Meme si ce n'estp pas super propre de la part de l'auteur de laisser le mot de passe en clair, ce n'est pas vraiment un probleme. J'imagine que les droits de ce fichiers de configuration sont plutot erstrictif, et que toi seul y a accès en lecture. Donc bein ... voila... il n'y a que toi qui est censé pouvoir ouvrir ce fichier.
Pacifick_FR42
Si la machine est multi-user n'importe quel autres user peux accéder à ce fichier... Non, niveau sécuriter, c'est juste.... ridicule... Et le plus bête dans l'histoire, c'est que Pidgin est "fournit" par défault dans Ubuntu.
Linux à la réputation d'être sécuriser... ce n'est pas le cas, je trouve cela dommage.
3po
C'est comme les mots de passes stockés par Firefox, si tu as accès en lecture aux fichiers du profil (signons2.txt et key3.db) tu les recopies dans un nouveau profil à toi et tu as accès à tous les mots de passe dans les options.
Je crois qu'il faudrait que tous les mots de passe soient gérés par GnuGP ou un truc du genre pour que les mots de passe soient protégés par le système.
Hoper
Si la machine est multi-user n'importe quel autres user peux accéder à ce fichier...
Bein non justement...
essaye de créer un utilisateur toto, tu verra qu'il ne pourra PAS lire ce fichier, et donc voir ton mot de passe.
Après, on est bien d'accord sur le fait qu'on ne peut pas protegerer une machine contre des utilisateurs "locaux", donc effectivement, rien n'empechera jamais les membres de ta famille de faire quoi que ce soit sur le pc, mais cela n'est pas un trou de sécurité, c'est inevitable quel que soit la machine et quelque soit l'OS.
Par contre, en utilisation multi-utilisateur "réseau", les droits d'accès aux fichiers suffisent.
Pacifick_FR42
Si je crée un Utilisateur TOTO, je n'aurais aucun mal à accéder à l'ensemble de ses fichier ! (sudo)
Cela dit, ce que je trouve anormal, c'est d'avoir le mot de passe en claire, il aurait été "un peu" judicieux de le crypter (comme amsn), par contre, je maitrise assez mal les possibilité de restriction de la commande sudo, il y à peut-etre quelque chose à creuser dans ce sens... le but, étant qu'un membre d'une famille ne puisse en aucun cas accéder aux autres users...
marcounet
Par défaut, seul le premier utilisateur créé (donc celui qui a installé le système) a accès à la commande SUDO, les autres ne le peuvent pas, tu dois les ajouter toi-même.
Mais je crois aussi que par défaut les fichiers d'un utilisateur sont accessibles en lecture mais pas en écriture, mais le fichier "accounts.xml" de Pidgin n'est lisible que par son propriétaire, je viens de vérifier sur ma machine et un autre user ne peut pas le lire, même pas entrer dans le répertoire .purple...
Donc c'est pas un problème qu'il soit écrit en clair !!!
On peut aussi éviter de cocher la case "mémoriser le mot de passe" dans Pidgin et on le tape à chaque connexion, c'est pas si terrible...
Pacifick_FR42
nan nan, quelque soir l'user que j'utilise, j'ai accés à la commande sudo.
Je ne dis pas que c'est terrible, je dis juste que c'est pas logique, un mot de passe n'est pas sencé etre en clair dans un fichier... c'est tout.
Bon, ducoup, j'ai désinstallé Pidgin au profit de amsn, je test au emesene, qui à l'ai d'ètre sympa...
Cela dit, effictivement, décocher la Case ce souvenir de mot de passe, est aussi une bonne précaution 🙂
marcounet
Alors c'est que tous tes users font partie du groupe admin.
Sinon ils n'ont pas accès à sudo.
Ou alors tu les as rajoutés directement dans ton fichier /etc/sudoers
Sinon je vois pas comment !
Et pour une fois je suis sûr de ce que je dis !
Pacifick_FR42
Ben, à vrait dire, je ne sais pas trop, habituellement, quant je rajoute un user, j'utilise la commande adduser.
Cela dit, je maitrise trés mal tous ça... les users, groups, je vais me documenter là-dessus, merci pour tes infos 🙂
winael
J'ai fait le test de mon coté.
Je suis le seul admin donc moi seul connait le mot de passe pour sudo
et effectivement nous n'avons pas les droit pour lire le dossier ./purple
Parcontre je trouve aussi cela dangereux ces mots de passes en clair. Car on peut imaginer par ex l'utilisation de pidgin dans un etablissement scolaire avec des postes en libre service. Si une faille permet à un utilisateur averti de passer en root, il sera alors capable de lire le mot de passe de tout le monde (pour rappel topic du 11/02
http://forum.ubuntu-fr.org/viewtopic.php?id=190583).
Faut ptete remonter l'info :s hop un coup de brainstorm héhé 😛
poupoul2
J'ai découvert le même genre de problème avec mail-notification: Les MDP des boites mails sont stockés en clair. Pas top...
Pacifick_FR42
La commande sudo (chez moi) demande le mots de passe users, jamais le mots de passe root (comme fedora ou debian)... ???
Merci poupoul2 pour l'info mais les MSP sont stocké ou exactement ?
marcounet
C'est vrai qu'en cas de faille c'est un problème...
Je vois parfois des mises à jour pour des failles grâce auxquelles un utilisateur peut passer en root. Y'a eu une grosse faille du noyau récemment (le 2.6.18 ???)
De plus, avec un accès physique à la machine, il suffirait de booter avec un autre système dans lequel on est root (sur un cd ??? une clé usb ???) pour pouvoir lire tous les fichiers de n'importe qui, ai-je raison ?
Pacifick_FR42
Je crois que oui... tu as surement raison :/
poupoul2
Pacifick_FR42 a écritMerci poupoul2 pour l'info mais les MSP sont stocké ou exactement ?
Dans le fichier de config xml sous /home/user/.gnome2/mail-notification
Chez, moi, pour 2 boites en pop et une gmail, il n'y a aucun doute. Le développeur m'a confirmé que c'était corrigé dans une version ultérieure, qui utilise le gestionnaire de trousseau
Pacifick_FR42
Curieux je n'ai pas ce fichier (mail-notification) j'utilisais Evolution, ensuite Thundrbird, et maintenant Kmail...
J'ai bien trouvé un fichier /.gnome2_private/evolution dans lequel ce trouve les paramètre pop, mais le MDP est crypté 🙂
poupoul2
mail-notification est indépendant de ton client mail. C'est une applet qui vérifie la présence de mails dans tes boites, en interrogeant le serveur. S'il y a courrier, il y a icone qui te permet de lancer ton client pour consulter tes mails.
Donc si tu ne l'utilises pas, il n'y a pas de risque
