Как стать автором
Обновить

Комментарии 39

Соглашусь с разработчиками, если кто то уже получил доступ к каталогу пользователя, то поздно шифровать пароли. И то что пароли не шифруются меня не один раз уже спасало, когда я их забывал и нужно было где то ввести их ещё раз.
С другой стороны шифрование весьма полезная вещь, и убережёт пароли от непосредственного просмотра через cat например, если права доступа выставлены к папкам некорректно. Например в gajim можно использовать менеджер паролей для этого дела.
>>3) Менее всего опасно в Linux, так этот файл находится в домашней папке, доступ к которой разрешен, по умолчанию, только хозяину этой папки.

да в висте не-админу тоже нет доступа к другим профилям

троллинг детектед
В висте — да. А в XP?
Насколько я помню, аналогично.

Другой вопрос, что там все администраторы.
Вот то-то и оно. А вообще, вирусы все равно обычно живут с привилегиями владельца компа, так что разницы особой нет
Против вируса шифрование не спасет, если вирус знает про пиджин.

А если не знает — то он и открытый пароль не возьмет.
Шифрование не спасет в любом случае
ну в принципе все что вы запускает от своих привелегий, например браузере с дырой, то данные будут доступны для чтения
Какой смысл их шифровать? Все равно их придется расшифровывать чтобы залогиниться на сервер, а если это может сделать pidgin, то и любой человек тоже легко может это сделать.

Можно спрашивать пароль для расшифровки во время запуска, но вводить его каждый раз не всегда удобно. Имхо лучше всего было бы реализовать это ввиде плагина
меня беспокоит, что из-за открытого пароля сильно расширяется круг лиц, которые могут его раздобыть.
Думаю, что даже очень простое шифрование (сокрытие пароля где-либо) превратило бы получение пароля не очень сведущими людьми в довольно непростую задачу.
Исходники pidgin открыты, так что любой человек знакомый с C легко вытащит функцию дешифровки из кода
«любой человек знакомый с » — как вы думаете, во сколько раз от этого бы уменьшилось людей, которые способны стащить мой пароль?
В 1 раз уменьшилось бы.

Все, кто способен нелегально получить доступ к вашему компу — авторы вирусов, то бишь — знают C
Далеко не факт, скрипт-киддисов никто не отменял. А это большой процент «хакиров».
скрипткиддисы способны и на использоваение универсальных расшифровщиков паролей, типа тех, которые извлекают данные из защищённого хранилища Windows

знать C тут достаточно одному человеку, который для собственной пользы (вспомнить забытый пароль, извлечь из хранилища) написал вполне легальную программу
Я вас совершенно не понял :)
Для винды это ж вообще катастрофа по-моему. Есть ли разграничение по правам доступа, или нет его — все равно хранить пароли в открытом виде — это моветон. Будь пиджин распространен в виндовсе — наверняка были бы вирусы, которые таскают пароли в два счета.
Утащить пароли вирусом можно из любой программы, которая хранит их на винте и не спрашивает пароль при каждом запуске
А что даст «закрытый вид»? Пиджин опенсорсен, значит, алгоритм расшифровки будет открыт, и любой сможет расшифровать этот пароль. Это скрытие только от обычного невооружённого глаза, но не более.

Что до вирусов, то полно вирусов, которые охотятся за паролями фара, winscp, cuteftp и прочих популярных FTP-клиентов, которые пароли в открытом виде не хранят. Тем не менее, их вовсю таскают — именно потому что раз уж пароль сохранён, то программа должна иметь возможность его расшифровать, а раз она это умеет, то и кто угодно сумеет.

Альтернатива — закрытие базы с паролями мастер-паролем, который НЕ ХРАНИТСЯ, а вводится каждый раз юзером заново. Но юзеры сразу начнут плакать, что это неудобно.
интерсено, почему тогда перечисленные FTP-клиенты не хранят пароли в текстовых файлах. Если нет никакой разницы.
потому, что их авторы не подумали о бесполезности этого шифрования

даже из защищённого хранилища WIndows можно пароли вытащить — хотя исходников его ни у кого нет
Спрашивайте у них. В нашем случае важно то, что от краж паролей это ни фига не спасает. Все вирусные ифреймы в интернете — дело рук как раз вот этих вирусов, сборщиков паролей от FTP.
Я немного шокирован.
Image #646040, 92.9 KB
ну вы поняли куда я клоню?
Человек замазал свой логин и пароль. Все нормально. А к чему клоните вы, я не понимаю :)
Замазывать логины/пароли/айпи/что-либо на скриншотах — моветон. Смотрится отвратительно.
это одна из причин, по которой я никогда не сохраняю паролей =)
вторая — я по крайней мере их запоминаю, так что не возникает проблем, когда нужно зайти с другого места.
на мой взгляд, безопаснее хранить пароли в текстовых файлах =)
НЛО прилетело и опубликовало эту надпись здесь
3) Менее всего опасно в Linux, так этот файл находится в домашней папке, доступ к которой разрешен, по умолчанию, только хозяину этой папки.

подправьте — пользователю и root'у\пользователю с фактическими правами root'a. Как то так)

В общем root сможет попасть в любое место локальной ФС, как бы владелец этого места не противился.
я бы не считал фс из разряда fuse локальными…
например, encfs
НЛО прилетело и опубликовало эту надпись здесь
если ключ будет задаваться пользователем или генерироваться каким-либо образом, то такой трюк не прокатит =)
НЛО прилетело и опубликовало эту надпись здесь
если ключ будет храниться отдельно, то придется красть два файла, только и всего =)

вообще тут выше уже был описан вариант с хранением базы паролей с мастер-ключом. это единственный вариант, когда увести пароль обычной кражей файлов не получится.
НЛО прилетело и опубликовало эту надпись здесь
Зато не долго придется гадать кому бить морду)
Эх жаль.
Нет идеального Интернет мессенджера. =(
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.