Comentários do Blog

  1. Avatar de jweyrich
    Tópico discutido dezenas ou centenas de vezes. Security by obscurity is evil.
    O sistema é quem deve se encarregar de proteger as informações presentes no homedir do usuário, e isto, acredito eu, é de senso comum há um certo tempo.
    Mas bacana que alguém procurou saber.
  2. Avatar de rcsdnj
    Considero esse comportamento do pidgin bem mais honesto e coerente do que o de clientes de mensagem instantânea como o MSN, que passam ao usuário falsa impressão de segurança.

    O ideal seria uma solução integrada com o chaveiro do sistema (como o Gnome Keyring), mas, nesse ponto, aí concordo que os desenvolvedores do Pidgin vez por outra possuem prioridades desalinhadas com as do usuário, pois ainda não disponibilizaram tal solução.

    Aos que realmente precisarem de segurança, sugeriria utilizar áreas de trabalho separadas e encriptar (com as ferramentas que o próprio sistema dá) seu diretório de trabalho ("home"). Assim, pouco importa se os arquivos contêm senha em texto claro, pois o princípio de segurança básico (não deixar que outros tenham acesso ao seus arquivos) fica melhor assegurado.
  3. Avatar de tuxdahora
    Citação Postado originalmente por Não Registrado
    No meu comentário anterior me enganei ao dizer que o "Master password" é um plugin quando, na verdade, é um patch. Então desconsidere o comentário, pois, se eles estão se recusando a aplicar o patch em curto prazo, eles estão bastante errados.
    Sim! Importante ter notado isso. Afinal, segurança demais, nunca é demais :-D E só por você implementar um pouco de segurança no Pidgin (a simples criptografia das senhas e o armazenamento das mesmas fora do arquivo XML) já seria um grande avanço. Pense que, do jeito que está agora, qualquer um, com o menor nível possível de conhecimento em informática, poderia roubar o arquivo accounts.xml e utilizar todas as informações úteis nele (principalmente logins e senhas).

    E do jeito que está a minha notícia (e as notícias-fonte para esse mesmo artigo), acaba sendo de forma indireta, uma receita de bolo para qualquer um com más intenções. Mas esse é sempre o revés de qualquer anúncio sobre brechas de segurança - você alerta quem precisa corrigir, e colateralmente acaba alertando quem tem más intenções. E a situação acaba sendo, inevitavelmente, uma corrida contra o tempo.

    E quando os problemas de segurança são tão 'escrachados' como esse do Pidgin, vale a pena sim, fazer um certo alarde. Não era minha intenção fazer dessa notícia sobre segurança, que a mesma fosse apenas mais uma, dentre as várias notícias que são publicadas todos os dias sobre esse tema. Minha real intenção era acordar os leitores sobre o que está acontecendo com o Pidgin, e o real perigo existente. Fazendo uma analogia bem hilária, essa 'brecha de segurança', é a mesma coisa que você ter um um grande e importante Banco com um tapete vermelho na sua porta, e uma placa no alto dizendo: "Sejam bem vindos todos os ladrões! Roubem o quanto quiserem! Sintam-se em casa!" :-D

    Não sei se esse foi o caso, apenas a gota-d'água (ou nenhuma das circunstancias) das consequências para informação a seguir, mas saiba que a partir do Ubuntu 9.10, o Pidgin deixa de existir como padrão de instalação de programa de mensagens instantâneas dessa distribuição. O mesmo será substituído pelo Empathy.

    E olha que estamos falando de Linux, que, querendo ou não, é realmente um sistema multi-tarefa e multi-usuário, com políticas bem definidas de permissões de acesso aos seus arquivos e diretórios (que também são uma espécie de arquivo). No Windows (principalmente em versões antigas como o 98) o problema é ainda maior. E o usuário pode até mesmo, ser vítma de roubo de informações pessoais do Pidgin pela rede, com a mesma facilidade que um invasor teria, ao ter acesso local a máquina-alvo.
    Atualizado 30-09-2009 em 14:15 por tuxdahora (Correções gramaticais e ortográficas básicas.)
  4. Avatar de Não Registrado
    No meu comentário anterior me enganei ao dizer que o "Master password" é um plugin quando, na verdade, é um patch. Então desconsidere o comentário, pois, se eles estão se recusando a aplicar o patch em curto prazo, eles estão bastante errados.
  5. Avatar de Não Registrado
    Encriptar sem uma senha não iria resolver nada, apenas daria uma falsa sensação de segurança ao usuário (o que é até pior). Isso acontece porque o Pidgin tem o código aberto e qualquer hacker que queira recuperar a senha da pessoa, poderia descriptografá-la facilmente. Mesmo se fosse com código-fonte fechado, existem descompiladores que possibilitariam a mesma facilidade.

    Por mais que isso restringiria o universo de pessoas que poderiam fazer isso aos programadores, nada impediria de alguém criar programinhas para "ajudar" o usuário a recuperar sua senha. Ou seja, é a mesmo coisa que salvar a senha em texto puro, só que teria um passo a mais para recuperar a senha.

    Então a senha mestra resolve o problema por completo e o plugin poderia ser inserido no programa já "de fábrica". Só achei que o artigo foi um pouco dramático demais ao apresentar a questão, e não um problema como foi dito.
  6. Avatar de tuxdahora
    Citação Postado originalmente por HiBrium
    Por que não utilizar logo o lyx como front-end para o "processador" de textos latex ? e ver o que realmente é uma "disposição" ?
    Concordo! E eu vou mais além! Por que utilizar 'interfaces' como o LyX, Kyle, ou mesmo o TeX-Emacs, quando você pode utilizar esse 'programador de textos' de forma muito mais produtiva, diretamente de sua base? Ora! sabemos que a maioria das pessoas NUNCA vai utilizar o LaTeX, nem mesmo através de suas novas interfaces gráficas.

    A maioria dos usuários de editores de texto são descendentes do Word da Microsoft (fato inegável), e mesmo ao embarcar no mundo Linux, preferem utilizar 'editores gráficos compativeis' com o mesmo. E se você estiver falando de usuários corporativos, a situação é a mesma. Eles também estão 'presos' ao 'sistema'.

    São poucos os usuários que utilizam o LaTeX de forma nativa (menos ainda os que usam ele sem suas interfaces gráficas). É a verdade nua e crua desse mundo, e essa tendência está longe de mudar. Só para você ter uma idéia, mesmo o LaTeX ainda é muito pouco utilizado (se comparado ao número total de usuários Linux existentes). Ele ainda continua preso a nichos acadêmicos (em sua maioria nos departamentos/cursos de física e matamética). Então, ver um 'usuário normal' utilizando o LateX, mesmo através dessas 'interfaces gráficas', já seria uma boa surpresa para todos nós.

    E esse caso é interessante, pois serve como uma maneira de se fazer boa propaganda para o LaTeX, mesmo que indiretamente. Imagine só, que os usuários do Open Office (e demais editores gráficos compatíveis com o projeto Ekee) só conseguirão criar fórmulas matemáticas decentemente apresentáveis, se utilizarem esse 'plugin'. De forma indireta, estamos fazendo uma boa propaganda do LateX, e quem sabe, incentivando os mesmos a 'irem mais além'.
  7. Avatar de HiBrium
    Por que não utilizar logo o lyx como front-end para o "processador" de textos latex ? e ver o que realmente é uma "disposição" ?
Página 8 de 8 PrimeiroPrimeiro ... 345678