Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Pacifick_FR42

Ok, vive les gadgets 🙂 !

winael

http://brainstorm.ubuntu.com a écritPidgin master password
Written by rumli the 15 Mar 08 at 14:08. Category: Internet & Networking. New
Pidgin stores passwords in a plain-text file, and it doesn't look like that is going to change any time soon. (See http://developer.pidgin.im/wiki/PlainTextPasswords)

I am very uncomfortable with storing my Google accounts passwords (for Google Talk) in plain text. Is it possible to make a Pidgin plugin available from apt that would allow for passwords to be encrypted on disk by a master password, similar to Firefox and Thunderbird?

Pacifick_FR42

C'est bien... mais ici, c'est un Forum francophonne... heu... donc, la coutume veut que l'on cause le ... français 🙂
Ce serai cool pour moi (et les autres) de nous traduire brièvement ce que tu as voulue dire... 😉

winael

Lol je fais juste référence a une des idées posées sur Ubuntu Brainstorm (qui n'est pas de moi... ) Visiblement d'autres personnes ont constaté la même anomalie que toi. Je vais essayer de traduire :

Pidgin enregistre les mots de passe en clair et visiblement cela ne va pas changer de si tôt (voir http://developer.pidgin.im/wiki/PlainTextPasswords)
Cela me rend plutôt mal à l'aise avec l'idée d'enregistrer mes mots de passe des mes comptes Google (pour Gtalk) en clair. Serait-il possible de rendre disponible sur les serveur apt un plugin Pidgin qui puisse crypter tous les mots de passe de pidgin sur le disque dur, par un mot de passe maître, comme le fond firefox et thunderbird ?

J'espère que ca vous va comme traduction ^^

Pacifick_FR42

Ok, mercie bcp !
Ben pour ma part, je n'aime pas trop me casser la tete... donc : amsn.
Par contre, je teste ausi emessen... je ne trouve pas ses fichiers de config... si quelqu'un à une idée ? 🙂

eme

Quelqu'un peut me dire comment et où retrouver tous les mots de passe utilisés sous ubuntu et sous pidgin?
Merci

®om

eme a écritQuelqu'un peut me dire comment et où retrouver tous les mots de passe utilisés sous ubuntu et sous pidgin?
Merci

Pour pidgin :

grep password ~/.purple/accounts.xml

Pacifick_FR42

Tiens ? on déterre les cadravres... ? lol
Cela dit, ça permet de fair le point...!
Alors :
1) Mot de passe Pidgin en clair : /$HOME/.purple/accounts.xml
2) Tous les mot de Passe sauvgarder par Firefox dans signons2.txt et key3.db
3) L'applet "mail-notification" stock les MDP des comptes courriers en clair...
4) ... Je n'ai pas fais le toure des tous les soft (Navigateur, Client Mail, etc...)
Conclusion, on pourrait peut-etre approfondire le sujet avec Opera, Konqueror, d'autre Applet de Notification... etc...

En contre partie, un user ne fesant pas partie du groupe admin n'a pas accés à la commande sudo...
Mouais... en revanche n'importe qui, avec une clef usb ou un cd live peut démarrer n'importe quelle machine en bootant dessus... Sans laisser la moindre Trasse de sont passage !!
A moins de configurer le bios pour qu'il boot sur le HDD en esclusivité (pas tjrs possible) et de vérouiller la toure avec un cadenas !!!

Donc, niveau sécurité, pas dutout top (je n'ai pas le souvenir que des MDP sous w$ soient en clair...)

En conclusion : Utiliser que des Softs "sécurisés" un minimum, particulièrement pour les machines multiutlisateurs, car la commande sudo, n'est absolument pas un gage de sécurité pour quiconque à acces physiquement à une machine.
Deplus un utilisateur qui ne peut rien installer sur sa session, c'est pas top, pas plus qu'il est accés à tous si on lui donne l'accés à sudo, on pourrai aussi creuser ce sujet.
Est-ce que le crypatge de partition (dans ce cas le /home) serait un début de réponse ?
Perso, je n'ai pas testé, j'évite les manip que je ne maitrise pas sur les partitions....
Quelqu'un à une réponse ? 🙂

Legoboy

Pour les applications KDE, c'est Kwallet qui gère les mots de passe.

C'est dommage qu'il n'y ai pas un système similaire sur Gnome...

®om

Legoboy a écritPour les applications KDE, c'est Kwallet qui gère les mots de passe.

C'est dommage qu'il n'y ai pas un système similaire sur Gnome...

Bah si, il y en a un (trousseau de clés seahorse), c'est juste que pidgin ne l'utilise pas.

eme

Je travaille actuellement avec ubuntu 9.04 et je voudrais étudier kubuntu. Est-ce que je peux l'installer sur ma clé u3 smart 8 GB? Comment dois-je procéder?
Merci pour votre aide

Pacifick_FR42

Aucun rapport avec ce poste...

[supprimé]

Il suffit de mettre un mots de passe bios tout simplement et les problémes de sécurité seront réglé, si ce n'est
pas un pc multiuser.

pef

Pacifick_FR42 a écritBonjour à tous !
Tout est dans le titre.. 🙂
En effet, dans le répertoire /$HOME/.purple/accounts.xml, le mot de passe est afficher en clair !!
Pour AMSN, meme profile, mais là le mot de passe est crypter... hummm... est-ce que quelqu'un sait si c'est "facile" à décrypter ? ou bien est-ce assez sécurisé ?

Après avoir étudié le code source d'Amsn je peux affirmer que non, ce n'est pas sécurisé du tout, c'est presque aussi simple de retrouver le mot de passe que s'il était en clair.

Le chiffrement utilisé est DES.
Dans le fichier config.xml les 7 premiers caractères de l'élément 'login' sont utilisés comme clé sur le mot de passe msn.
Comme la clé est connue, il est très facile de déchiffrer le mot de passe contenu dans l'élement 'encpassword', j'ai testé et vérifié cela.

Bref, comme le mentionnent les développeurs de Pidgin
http://developer.pidgin.im/wiki/PlainTextPasswords

This is security by obscurity, and is a Very Bad ThingTM in that it gives users a false sense of security (...)

Si une autre personne a accès à ce fichier, elle aurai aussi accès au mot de passe. Aucun gain de sécurité par ce chiffrement inutile.

L_d_v_c@

Bonjour,
je rouvre ce post pour remercier Pacifick_FR42 grâce à qui j'ai retrouvé mon mot de passe pour le transférer entre plusieurs machines sans passer par la redéfinition d'un mot de passe jabber nécessitant de mettre à jour toutes les machines.

Je ne sais pas si c'est un réel problème que le détenteur des droits sudo puisse lire le mot de passe en clair, car le détenteur des droits sudo pourra quand même lire le mot de passe chiffré, donc finir par le lire s'il s'acharne dessus, non ?

Puis il parait que plus l'armure est solide, plus puissant est l'obus...

« Page précédente