Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Pacifick_FR42 · Le 03/04/2008, à 20:34

Bonjour à tous !
Tout est dans le titre..
En effet, dans le répertoire /$HOME/.purple/accounts.xml, le mot de passe est afficher en clair !!
Pour AMSN, meme profile, mais là le mot de passe est crypter... hummm... est-ce que quelqu'un sait si c'est "facile" à décrypter ? ou bien est-ce assez sécurisé ?

Dernière modification par Pacifick_FR42 (Le 04/04/2008, à 05:12)

Pacifick_FR42 · Le 03/04/2008, à 21:24

J'aimerai connaître votre avis

Pacifick_FR42 · Le 03/04/2008, à 22:46

Petit up

Hoper · Le 04/04/2008, à 07:35

Meme si ce n'estp pas super propre de la part de l'auteur de laisser le mot de passe en clair, ce n'est pas vraiment un probleme. J'imagine que les droits de ce fichiers de configuration sont plutot erstrictif, et que toi seul y a accès en lecture. Donc bein ... voila... il n'y a que toi qui est censé pouvoir ouvrir ce fichier.

Pacifick_FR42 · Le 04/04/2008, à 12:37

Si la machine est multi-user n'importe quel autres user peux accéder à ce fichier... Non, niveau sécuriter, c'est juste.... ridicule... Et le plus bête dans l'histoire, c'est que Pidgin est "fournit" par défault dans Ubuntu.
Linux à la réputation d'être sécuriser... ce n'est pas le cas, je trouve cela dommage.

3po · Le 04/04/2008, à 12:53

C'est comme les mots de passes stockés par Firefox, si tu as accès en lecture aux fichiers du profil (signons2.txt et key3.db) tu les recopies dans un nouveau profil à toi et tu as accès à tous les mots de passe dans les options.

Je crois qu'il faudrait que tous les mots de passe soient gérés par GnuGP ou un truc du genre pour que les mots de passe soient protégés par le système.

Hoper · Le 04/04/2008, à 13:01

Si la machine est multi-user n'importe quel autres user peux accéder à ce fichier...

Bein non justement...
essaye de créer un utilisateur toto, tu verra qu'il ne pourra PAS lire ce fichier, et donc voir ton mot de passe.
Après, on est bien d'accord sur le fait qu'on ne peut pas protegerer une machine contre des utilisateurs "locaux", donc effectivement, rien n'empechera jamais les membres de ta famille de faire quoi que ce soit sur le pc, mais cela n'est pas un trou de sécurité, c'est inevitable quel que soit la machine et quelque soit l'OS.
Par contre, en utilisation multi-utilisateur "réseau", les droits d'accès aux fichiers suffisent.

Pacifick_FR42 · Le 04/04/2008, à 16:00

Si je crée un Utilisateur TOTO, je n'aurais aucun mal à accéder à l'ensemble de ses fichier ! (sudo)
Cela dit, ce que je trouve anormal, c'est d'avoir le mot de passe en claire, il aurait été "un peu" judicieux de le crypter (comme amsn), par contre, je maitrise assez mal les possibilité de restriction de la commande sudo, il y à peut-etre quelque chose à creuser dans ce sens... le but, étant qu'un membre d'une famille ne puisse en aucun cas accéder aux autres users...

marcounet · Le 04/04/2008, à 16:40

Par défaut, seul le premier utilisateur créé (donc celui qui a installé le système) a accès à la commande SUDO, les autres ne le peuvent pas, tu dois les ajouter toi-même.
Mais je crois aussi que par défaut les fichiers d'un utilisateur sont accessibles en lecture mais pas en écriture, mais le fichier "accounts.xml" de Pidgin n'est lisible que par son propriétaire, je viens de vérifier sur ma machine et un autre user ne peut pas le lire, même pas entrer dans le répertoire .purple...
Donc c'est pas un problème qu'il soit écrit en clair !!!
On peut aussi éviter de cocher la case "mémoriser le mot de passe" dans Pidgin et on le tape à chaque connexion, c'est pas si terrible...

Pacifick_FR42 · Le 04/04/2008, à 18:15

nan nan, quelque soir l'user que j'utilise, j'ai accés à la commande sudo.
Je ne dis pas que c'est terrible, je dis juste que c'est pas logique, un mot de passe n'est pas sencé etre en clair dans un fichier... c'est tout.
Bon, ducoup, j'ai désinstallé Pidgin au profit de amsn, je test au emesene, qui à l'ai d'ètre sympa...
Cela dit, effictivement, décocher la Case ce souvenir de mot de passe, est aussi une bonne précaution

marcounet · Le 04/04/2008, à 19:33

Alors c'est que tous tes users font partie du groupe admin.
Sinon ils n'ont pas accès à sudo.
Ou alors tu les as rajoutés directement dans ton fichier /etc/sudoers
Sinon je vois pas comment !
Et pour une fois je suis sûr de ce que je dis !

Pacifick_FR42 · Le 04/04/2008, à 19:56

Ben, à vrait dire, je ne sais pas trop, habituellement, quant je rajoute un user, j'utilise la commande adduser.
Cela dit, je maitrise trés mal tous ça... les users, groups, je vais me documenter là-dessus, merci pour tes infos

winael · Le 04/04/2008, à 19:59

J'ai fait le test de mon coté.
Je suis le seul admin donc moi seul connait le mot de passe pour sudo
et effectivement nous n'avons pas les droit pour lire le dossier ./purple
Parcontre je trouve aussi cela dangereux ces mots de passes en clair. Car on peut imaginer par ex l'utilisation de pidgin dans un etablissement scolaire avec des postes en libre service. Si une faille permet à un utilisateur averti de passer en root, il sera alors capable de lire le mot de passe de tout le monde (pour rappel topic du 11/02 http://forum.ubuntu-fr.org/viewtopic.php?id=190583).
Faut ptete remonter l'info :s hop un coup de brainstorm héhé

poupoul2 · Le 04/04/2008, à 20:02

J'ai découvert le même genre de problème avec mail-notification: Les MDP des boites mails sont stockés en clair. Pas top...

Pacifick_FR42 · Le 04/04/2008, à 20:15

La commande sudo (chez moi) demande le mots de passe users, jamais le mots de passe root (comme fedora ou debian)... ???
Merci poupoul2 pour l'info mais les MSP sont stocké ou exactement ?

marcounet · Le 04/04/2008, à 20:30

C'est vrai qu'en cas de faille c'est un problème...
Je vois parfois des mises à jour pour des failles grâce auxquelles un utilisateur peut passer en root. Y'a eu une grosse faille du noyau récemment (le 2.6.18 ???)

De plus, avec un accès physique à la machine, il suffirait de booter avec un autre système dans lequel on est root (sur un cd ??? une clé usb ???) pour pouvoir lire tous les fichiers de n'importe qui, ai-je raison ?

Pacifick_FR42 · Le 04/04/2008, à 20:32

Je crois que oui... tu as surement raison

poupoul2 · Le 04/04/2008, à 20:50

Pacifick_FR42 a écrit :

Merci poupoul2 pour l'info mais les MSP sont stocké ou exactement ?

Dans le fichier de config xml sous /home/user/.gnome2/mail-notification
Chez, moi, pour 2 boites en pop et une gmail, il n'y a aucun doute. Le développeur m'a confirmé que c'était corrigé dans une version ultérieure, qui utilise le gestionnaire de trousseau

Dernière modification par poupoul2 (Le 04/04/2008, à 20:54)

Pacifick_FR42 · Le 04/04/2008, à 21:18

Curieux je n'ai pas ce fichier (mail-notification) j'utilisais Evolution, ensuite Thundrbird, et maintenant Kmail...
J'ai bien trouvé un fichier /.gnome2_private/evolution dans lequel ce trouve les paramètre pop, mais le MDP est crypté

poupoul2 · Le 04/04/2008, à 21:21

mail-notification est indépendant de ton client mail. C'est une applet qui vérifie la présence de mails dans tes boites, en interrogeant le serveur. S'il y a courrier, il y a icone qui te permet de lancer ton client pour consulter tes mails.
Donc si tu ne l'utilises pas, il n'y a pas de risque

Pacifick_FR42 · Le 04/04/2008, à 21:27

Ok, vive les gadgets !

Dernière modification par Pacifick_FR42 (Le 04/04/2008, à 21:27)

winael · Le 05/04/2008, à 00:27

http://brainstorm.ubuntu.com a écrit :

Pidgin master password
Written by rumli the 15 Mar 08 at 14:08. Category: Internet & Networking. New
Pidgin stores passwords in a plain-text file, and it doesn't look like that is going to change any time soon. (See http://developer.pidgin.im/wiki/PlainTextPasswords)
I am very uncomfortable with storing my Google accounts passwords (for Google Talk) in plain text. Is it possible to make a Pidgin plugin available from apt that would allow for passwords to be encrypted on disk by a master password, similar to Firefox and Thunderbird?

Dernière modification par winael (Le 05/04/2008, à 00:33)

Pacifick_FR42 · Le 05/04/2008, à 00:38

C'est bien... mais ici, c'est un Forum francophonne... heu... donc, la coutume veut que l'on cause le ... français
Ce serai cool pour moi (et les autres) de nous traduire brièvement ce que tu as voulue dire...

winael · Le 05/04/2008, à 12:51

Lol je fais juste référence a une des idées posées sur Ubuntu Brainstorm (qui n'est pas de moi... ) Visiblement d'autres personnes ont constaté la même anomalie que toi. Je vais essayer de traduire :

Pidgin enregistre les mots de passe en clair et visiblement cela ne va pas changer de si tôt (voir http://developer.pidgin.im/wiki/PlainTextPasswords)
Cela me rend plutôt mal à l'aise avec l'idée d'enregistrer mes mots de passe des mes comptes Google (pour Gtalk) en clair. Serait-il possible de rendre disponible sur les serveur apt un plugin Pidgin qui puisse crypter tous les mots de passe de pidgin sur le disque dur, par un mot de passe maître, comme le fond firefox et thunderbird ?

J'espère que ca vous va comme traduction ^^

Pacifick_FR42 · Le 06/04/2008, à 03:43

Ok, mercie bcp !
Ben pour ma part, je n'aime pas trop me casser la tete... donc : amsn.
Par contre, je teste ausi emessen... je ne trouve pas ses fichiers de config... si quelqu'un à une idée ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 03/04/2008, à 20:34

Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#2 Le 03/04/2008, à 21:24

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#3 Le 03/04/2008, à 22:46

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#4 Le 04/04/2008, à 07:35

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#5 Le 04/04/2008, à 12:37

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#6 Le 04/04/2008, à 12:53

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#7 Le 04/04/2008, à 13:01

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#8 Le 04/04/2008, à 16:00

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#9 Le 04/04/2008, à 16:40

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#10 Le 04/04/2008, à 18:15

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#11 Le 04/04/2008, à 19:33

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#12 Le 04/04/2008, à 19:56

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#13 Le 04/04/2008, à 19:59

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#14 Le 04/04/2008, à 20:02

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#15 Le 04/04/2008, à 20:15

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#16 Le 04/04/2008, à 20:30

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#17 Le 04/04/2008, à 20:32

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#18 Le 04/04/2008, à 20:50

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#19 Le 04/04/2008, à 21:18

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#20 Le 04/04/2008, à 21:21

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#21 Le 04/04/2008, à 21:27

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#22 Le 05/04/2008, à 00:27

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#23 Le 05/04/2008, à 00:38

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#24 Le 05/04/2008, à 12:51

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

#25 Le 06/04/2008, à 03:43

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Pied de page des forums