Я недавно узнал, что сохраненные в Pidgin'е пароли к аккаунтам расположены в xml файле и никак не зашифрованы.
В Windows XP путь к этому файлу будет таким — C:\Documents and Settings\[UserName]\Application Data\.purple\accounts.xml
В Ubuntu — /home/[UserName]/.purple/accounts.xml
Как это выглядит:
На мой взгляд это:
1) небезопасно для пользователей FAT32/Win95/98 (еще есть такие? :-)), ибо FAT32 не осуществляет почти никакого ограничения на доступ к файлам. Таким образом любой, кто сможет получить доступ к компьютеру, сможет получить доступ и к сохраненным паролям.
2) Менее опасно в NTFS/WinXP/Vista – например, у меня по умолчанию на этот файл стоят следующие права: полный доступ для Administrtors, меня и System. То есть любой, кто сможет получить доступ к компьютеру с правами администратора, сможет получить доступ и к сохраненным паролям. При том, что я всегда работаю под админом, и принимая во внимание количество уязвимостей в Windows, для меня это наверное так же небезопасно как и в первом пункте.
3) Менее всего опасно в Linux, так этот файл находится в домашней папке, доступ к которой разрешен, по умолчанию, только хозяину этой папки.
Как вы думаете насколько в действительности серьезно то, что пароли никак не шифруются и кто угодно может их прочитать? Стоит ли менять IM клиент (хотя не думаю, что в других клиентах ситуация кардинально отличается)? Или просто не сохранять пароли? Правда, последнее несколько неудобно.
Да, и, разумеется, я не открыл Америку, всё это давно известно. Мнение разработчиков Pidgin таково, что открытые пароли не более опасны, чем любые другие сохраненные пароли. И пока они не собираются реализовывать какое-либо шифрование паролей в Pidgin.
В Windows XP путь к этому файлу будет таким — C:\Documents and Settings\[UserName]\Application Data\.purple\accounts.xml
В Ubuntu — /home/[UserName]/.purple/accounts.xml
Как это выглядит:
На мой взгляд это:
1) небезопасно для пользователей FAT32/Win95/98 (еще есть такие? :-)), ибо FAT32 не осуществляет почти никакого ограничения на доступ к файлам. Таким образом любой, кто сможет получить доступ к компьютеру, сможет получить доступ и к сохраненным паролям.
2) Менее опасно в NTFS/WinXP/Vista – например, у меня по умолчанию на этот файл стоят следующие права: полный доступ для Administrtors, меня и System. То есть любой, кто сможет получить доступ к компьютеру с правами администратора, сможет получить доступ и к сохраненным паролям. При том, что я всегда работаю под админом, и принимая во внимание количество уязвимостей в Windows, для меня это наверное так же небезопасно как и в первом пункте.
3) Менее всего опасно в Linux, так этот файл находится в домашней папке, доступ к которой разрешен, по умолчанию, только хозяину этой папки.
Как вы думаете насколько в действительности серьезно то, что пароли никак не шифруются и кто угодно может их прочитать? Стоит ли менять IM клиент (хотя не думаю, что в других клиентах ситуация кардинально отличается)? Или просто не сохранять пароли? Правда, последнее несколько неудобно.
Да, и, разумеется, я не открыл Америку, всё это давно известно. Мнение разработчиков Pidgin таково, что открытые пароли не более опасны, чем любые другие сохраненные пароли. И пока они не собираются реализовывать какое-либо шифрование паролей в Pidgin.
