Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Sicherheitslücke in Pidgin
#1
Reisserischer Titel, doch leider wahr. Es ist ein Sicherheitsmangel, wenn Useraccounts und deren Passwörter als Klartext gespeichert werden. Dies ist ja der Fall (Accounts.xml). Gibts Abhilfe - ausser Pidgin in einem TrueCrypt Container laufen zu lassen?
Zitieren
#2
Irgendwo auf http://www.pidgin.im ist das erläutert.

Der Grund ist folgender: Würde man die Passwörter verschlüsselt speichern, müsten sie von Pidgin entschlüsselt werden. Da Pidgin nun mal OpenSource ist, gelingt es einem Kenner recht schnell, ein Programm zu schreiben, welches das Passwort ausliest und, im Gegensatz zu Pidgin, im Klartext ausgibt - man muss einfach nur den Code kopieren.
Nun könnte man sagen "Macht es einem doch nicht so leicht.", aber das Problem ist, dass sich dann ein nicht geringer Teil der Nutzer in trügerischer Sicherheit wiegt, was weit schlimmer ist.

Pidgin spielt in dem Fall also eher mit offenen Karten.

Die sicherste Methode ist immer noch, das Passwort einzig im Kopf abzuspeichern. Wink
Welche Pidgin-Version setzt du ein?
Welches Betriebssystem?
Was sagt das Debug-Fenster?

[Bild: pidginbanner.png]
Zitieren
#3
(05.01.2008, 00:42)Freakazoid schrieb:Die sicherste Methode ist immer noch, das Passwort einzig im Kopf abzuspeichern. Wink

Hm, kommt auf den Kopf an  ;D
Das Recht auf Dummheit gehört zur Garantie der freien Entfaltung der Persönlichkeit! (Mark Twain)

Dabei niemals vergessen:
Lege dich niemals mit Idioten an. Erst ziehen sie dich auf ihr Niveau herunter und schlagen Dich dann dort durch ihre Erfahrung.
Zitieren
#4
Ich finde diese Sicherheitslücke auch gravierend.
Wie "caschy" schon geschrieben hat, ist TrueCrypt eine mögliche Abhilfe.
Dabei besteht, allerdings das Problem, dass die Daten im Systemverzeichnis "C:\Dokumente und Einstellungen" gespeichert werden, also außerhalb meines TrueCrypt-Containers. Eine Möglichkeit diesen Pfad in den Einstellungen zu ändern wird momentan nicht angeboten (siehe: http://forum.pidgin-im.de/index.php?PHPS...629#msg629 ).
Die m.E. zurzeit einzige Möglichkeit das zu umgehen ist Pidgin Portable, für das es mittlerweile auch ein ThirdParty Plugin für OTR gibt. Dieses speichert die Daten im Installationsverzeichnis (welches dann in einem verschlüsselten Bereich liegen sollte).
Zitieren
#5
Ein Messenger sollte eh full portable sein. Aber ich drifte ab ;D
Zitieren
#6
Auf der Raven Homepage wird beschrieben wie der Pfad, in dem Pidgin die privaten Daten speichert geändert werden kann:
http://hp.kairaven.de/jabber/jabber12.html

Gute Sache!
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste