Postado originalmente por Não Registrado No meu comentário anterior me enganei ao dizer que o "Master password" é um plugin quando, na verdade, é um patch. Então desconsidere o comentário, pois, se eles estão se recusando a aplicar o patch em curto prazo, eles estão bastante errados. Sim! Importante ter notado isso. Afinal, segurança demais, nunca é demais :-D E só por você implementar um pouco de segurança no Pidgin (a simples criptografia das senhas e o armazenamento das mesmas fora do arquivo XML) já seria um grande avanço. Pense que, do jeito que está agora, qualquer um, com o menor nível possível de conhecimento em informática, poderia roubar o arquivo accounts.xml e utilizar todas as informações úteis nele (principalmente logins e senhas). E do jeito que está a minha notícia (e as notícias-fonte para esse mesmo artigo), acaba sendo de forma indireta, uma receita de bolo para qualquer um com más intenções. Mas esse é sempre o revés de qualquer anúncio sobre brechas de segurança - você alerta quem precisa corrigir, e colateralmente acaba alertando quem tem más intenções. E a situação acaba sendo, inevitavelmente, uma corrida contra o tempo. E quando os problemas de segurança são tão 'escrachados' como esse do Pidgin, vale a pena sim, fazer um certo alarde. Não era minha intenção fazer dessa notícia sobre segurança, que a mesma fosse apenas mais uma, dentre as várias notícias que são publicadas todos os dias sobre esse tema. Minha real intenção era acordar os leitores sobre o que está acontecendo com o Pidgin, e o real perigo existente. Fazendo uma analogia bem hilária, essa 'brecha de segurança', é a mesma coisa que você ter um um grande e importante Banco com um tapete vermelho na sua porta, e uma placa no alto dizendo: "Sejam bem vindos todos os ladrões! Roubem o quanto quiserem! Sintam-se em casa!" :-D Não sei se esse foi o caso, apenas a gota-d'água (ou nenhuma das circunstancias) das consequências para informação a seguir, mas saiba que a partir do Ubuntu 9.10, o Pidgin deixa de existir como padrão de instalação de programa de mensagens instantâneas dessa distribuição. O mesmo será substituído pelo Empathy. E olha que estamos falando de Linux, que, querendo ou não, é realmente um sistema multi-tarefa e multi-usuário, com políticas bem definidas de permissões de acesso aos seus arquivos e diretórios (que também são uma espécie de arquivo). No Windows (principalmente em versões antigas como o 98) o problema é ainda maior. E o usuário pode até mesmo, ser vítma de roubo de informações pessoais do Pidgin pela rede, com a mesma facilidade que um invasor teria, ao ter acesso local a máquina-alvo.
kakakakakka a mikrotik esta matando a gente.... mt engraçado o video
No meu comentário anterior me enganei ao dizer que o "Master password" é um plugin quando, na verdade, é um patch. Então desconsidere o comentário, pois, se eles estão se recusando a aplicar o patch em curto prazo, eles estão bastante errados.
Encriptar sem uma senha não iria resolver nada, apenas daria uma falsa sensação de segurança ao usuário (o que é até pior). Isso acontece porque o Pidgin tem o código aberto e qualquer hacker que queira recuperar a senha da pessoa, poderia descriptografá-la facilmente. Mesmo se fosse com código-fonte fechado, existem descompiladores que possibilitariam a mesma facilidade. Por mais que isso restringiria o universo de pessoas que poderiam fazer isso aos programadores, nada impediria de alguém criar programinhas para "ajudar" o usuário a recuperar sua senha. Ou seja, é a mesmo coisa que salvar a senha em texto puro, só que teria um passo a mais para recuperar a senha. Então a senha mestra resolve o problema por completo e o plugin poderia ser inserido no programa já "de fábrica". Só achei que o artigo foi um pouco dramático demais ao apresentar a questão, e não um problema como foi dito.
Postado originalmente por alamdias Entendo como LIVRE, os softwares. O hardware não deve ser livre, ninguém vai fabricar chip, tela de LCD, livres , ok ? Abraços O conceito de livre é que todo mundo pode copiar e melhorar sem restrições. Obviamente é muito mais fácil copiar e mudar um software do que copiar e mudar um hardware. Pelo que se pode entender nesse caso, os chips não são livres (os fabricantes dos chips ainda não entraram na era do GPL). Mas é livre o trabalho de integração desses componentes, desenvolvido pela Quanta. Mas essa iniciativa da Quanta é interessante porque pelo menos tornou livre o barramento e a topologia dos componentes. Quando se faz um notebook, se gasta muito em colocar cada coisa em seu lugar, barramentos, rotas dentro do circuito impresso, tecnologia de aterramento, etc, etc. Eu creio que a estratégia da Quanta seja a de permitir com que outros "terminem" o notebook se for necessário. Afinal, já que é difícil montar uma fábrica para montar um notebook, eu posso comprar o equipamento semi-montado da Quanta e mudar aquilo que eu precisar. Na verdade os fabricantes OEM já fazem customização hoje: você dá uma especificação, compra um lote grande e eles fazem. Acho que essa estratégia da Quanta pode viabilizar coisas em menor escala, talvez com um pedido menor (que não seria aceito para um customização) um desenvolvedor consiga comprar um lote semi-finalizado e dar os acréscimos necessários.
rs mto loko...
interessante
Entendo como LIVRE, os softwares. O hardware não deve ser livre, ninguém vai fabricar chip, tela de LCD, livres , ok ? Abraços
Obrigado pelos elogios, em breve estarei postado mais...
Lembrando que em um código você pode utilizar as quatro formas, mas isso pode confundir um pouco a sua cabeça. Com certeza!! Otima aula!!!
