+- Pidgin Forum (https://forum.pidgin-im.de)
+-- Forum: Hilfe-Bereich (https://forum.pidgin-im.de/forumdisplay.php?fid=4)
+--- Forum: Allgemeine Fragen (https://forum.pidgin-im.de/forumdisplay.php?fid=12)
+--- Thema: Sicherheitslücke in Pidgin (/showthread.php?tid=137)
Sicherheitslücke in Pidgin - caschy - 05.01.2008
Reisserischer Titel, doch leider wahr. Es ist ein Sicherheitsmangel, wenn Useraccounts und deren Passwörter als Klartext gespeichert werden. Dies ist ja der Fall (Accounts.xml). Gibts Abhilfe - ausser Pidgin in einem TrueCrypt Container laufen zu lassen?
Re: Sicherheitslücke in Pidgin - Freakazoid - 05.01.2008
Irgendwo auf http://www.pidgin.im ist das erläutert.
Der Grund ist folgender: Würde man die Passwörter verschlüsselt speichern, müsten sie von Pidgin entschlüsselt werden. Da Pidgin nun mal OpenSource ist, gelingt es einem Kenner recht schnell, ein Programm zu schreiben, welches das Passwort ausliest und, im Gegensatz zu Pidgin, im Klartext ausgibt - man muss einfach nur den Code kopieren.
Nun könnte man sagen "Macht es einem doch nicht so leicht.", aber das Problem ist, dass sich dann ein nicht geringer Teil der Nutzer in trügerischer Sicherheit wiegt, was weit schlimmer ist.
Pidgin spielt in dem Fall also eher mit offenen Karten.
Die sicherste Methode ist immer noch, das Passwort einzig im Kopf abzuspeichern.
Re: Sicherheitslücke in Pidgin - HightowerCologne - 05.01.2008
(05.01.2008, 00:42)Freakazoid schrieb:Die sicherste Methode ist immer noch, das Passwort einzig im Kopf abzuspeichern.
Hm, kommt auf den Kopf an ;D
Re: Sicherheitslücke in Pidgin - monic - 06.01.2008
Ich finde diese Sicherheitslücke auch gravierend.
Wie "caschy" schon geschrieben hat, ist TrueCrypt eine mögliche Abhilfe.
Dabei besteht, allerdings das Problem, dass die Daten im Systemverzeichnis "C:\Dokumente und Einstellungen" gespeichert werden, also außerhalb meines TrueCrypt-Containers. Eine Möglichkeit diesen Pfad in den Einstellungen zu ändern wird momentan nicht angeboten (siehe: http://forum.pidgin-im.de/index.php?PHPSESSID=1959a8b82b385c639d164a0c472c48e1&topic=94.msg629#msg629 ).
Die m.E. zurzeit einzige Möglichkeit das zu umgehen ist Pidgin Portable, für das es mittlerweile auch ein ThirdParty Plugin für OTR gibt. Dieses speichert die Daten im Installationsverzeichnis (welches dann in einem verschlüsselten Bereich liegen sollte).
Re: Sicherheitslücke in Pidgin - caschy - 06.01.2008
Ein Messenger sollte eh full portable sein. Aber ich drifte ab ;D
Re: Sicherheitslücke in Pidgin - monic - 21.01.2008
Auf der Raven Homepage wird beschrieben wie der Pfad, in dem Pidgin die privaten Daten speichert geändert werden kann:
http://hp.kairaven.de/jabber/jabber12.html
Gute Sache!