Notícias Sobre TI e Linux
Pidgin Não Criptografa as Senhas Armazenadas
por em 30-09-2009 às 10:00 (6447 Visualizações)
Este é um alerta para todos os usuários do Pidgin, este famoso programa de mensagens instantâneas para Linux. O Pidgin não armazena as senhas do usuário de forma criptografada. Diferente disso, as mesmas são armazenadas livremente em formato texto em seu arquivo accounts.xml. O que é mais inacreditável nisso tudo é que, de acordo com os desenvolvedores do Pidgin, essa 'característica' não irá sumir tão cedo. Nem mesmo nas próximas versões do programa. E seus usuários que se contentem com isso.
Essa 'característica' do Pidgin abre um novo e potencial problema de segurança para os usuários deste programa de mensagens instantâneas que tem se tornado muito popular. Se o login e senha de todas as suas contas estão armazenados em formato texto aberto dentro do arquivo accounts.xml, qualquer invasor que saiba o caminho do arquivo, representa um grande perigo para o usuário. E isso, principalmente para os invasores que tem acesso local as máquinas, pois sabemos que, mesmo no mundo Linux, muitos usuários teimam em largar seus logins ativos sem nenhuma defesa de tela por senha, mesmo quando vão 'pegar um cafezinho'.
Para ver como o Pidgin armazena as senhas, vá até o diretório $HOME/.purple (onde home é o caminho natural até sua conta de usuário, como no exemplo /home/fulano) de sua conta no Linux, e então abra o arquivo accounts.xml com seu editor de textos favorito.
Procure pelo seu e-mail de cadastrado no pidgin e verá algo como o descrito abaixo (apenas um recorte ilustrativo):
Código :<accountversion=\"1.0'> <account> <protocol>prpl msn</protocol> <name>[email protected]</name> <password>minhasenha</password>
E como garantir a segurança de seu Pidgin, com a presença desse perigo em potencial? Uma das maneiras é não deixar que o pidgin armazene suas senhas ao efetuar login no mesmo. Pode parecer simples, mas para pessoas que, como eu, possuem dezenas de contas ativas simultaneamente no sistema, é um enorme problema. Pense no drama! Toda vez que você for logar no pidgin, terá de fornecer manualmente TODAS as senhas dos seus usuários. Sempre! Bastante desconfortável, não acham?
Outra opção interessante é instalar um patch chamado Master password. Você encontra as instruções neste fórum do Ubuntu. Caso seu sistema não seja baseado no Debian, tente adaptar o tutorial (que é bastante simples) para a sua própria distribuição Linux. Eu não testei esse patch e não sei a real proteção que o mesmo proporciona. Então, lembrem-se: é por sua conta e risco!
Saiba Mais:
Unixmen: http://www.unixmen.com/linux-tutoria...-secure-it-now
Pidgin: http://developer.pidgin.im/wiki/PlainTextPasswords
Patch Master Password: http://ubuntuforums.org/showthread.php?t=505788
Enviar Post de Blog por EmailComentários
+ Enviar Comentário
Ir para Perfil
Marcar como Lido
