Reisserischer Titel, doch leider wahr. Es ist ein Sicherheitsmangel, wenn Useraccounts und deren Passwörter als Klartext gespeichert werden. Dies ist ja der Fall (Accounts.xml). Gibts Abhilfe - ausser Pidgin in einem TrueCrypt Container laufen zu lassen?
Irgendwo auf
http://www.pidgin.im ist das erläutert.
Der Grund ist folgender: Würde man die Passwörter verschlüsselt speichern, müsten sie von Pidgin entschlüsselt werden. Da Pidgin nun mal OpenSource ist, gelingt es einem Kenner recht schnell, ein Programm zu schreiben, welches das Passwort ausliest und, im Gegensatz zu Pidgin, im Klartext ausgibt - man muss einfach nur den Code kopieren.
Nun könnte man sagen "Macht es einem doch nicht
so leicht.", aber das Problem ist, dass sich dann ein nicht geringer Teil der Nutzer in trügerischer Sicherheit wiegt, was weit schlimmer ist.
Pidgin spielt in dem Fall also eher mit offenen Karten.
Die sicherste Methode ist immer noch, das Passwort einzig im Kopf abzuspeichern.
(05.01.2008, 00:42)Freakazoid schrieb:Die sicherste Methode ist immer noch, das Passwort einzig im Kopf abzuspeichern.
Hm, kommt auf den Kopf an ;D
Ich finde diese Sicherheitslücke auch gravierend.
Wie "caschy" schon geschrieben hat, ist TrueCrypt eine mögliche Abhilfe.
Dabei besteht, allerdings das Problem, dass die Daten im Systemverzeichnis "C:\Dokumente und Einstellungen" gespeichert werden, also außerhalb meines TrueCrypt-Containers. Eine Möglichkeit diesen Pfad in den Einstellungen zu ändern wird momentan nicht angeboten (siehe:
http://forum.pidgin-im.de/index.php?PHPS...629#msg629 ).
Die m.E. zurzeit einzige Möglichkeit das zu umgehen ist Pidgin Portable, für das es mittlerweile auch ein ThirdParty Plugin für OTR gibt. Dieses speichert die Daten im Installationsverzeichnis (welches dann in einem verschlüsselten Bereich liegen sollte).
Ein Messenger sollte eh full portable sein. Aber ich drifte ab ;D