sabato 24 maggio 2008

Pidgin e la sicurezza

ATTENZIONE: questo post è stato completamente riscritto questa mattina nonchè portato in alto alla pagina per questioni di completezza e per migliorare l'articolo stesso, è quindi normale che non troviate il vecchio articolo anche se l'avete già letto

Inutile ripetere cosa è Pidgin, utile invece trattare un argomento molto importante ovvero la sicurezza del clienti stesso. Molti non lo sanno e verranno sorpresi dal fatto che l'IM in questione non offre un sistema per criptare i dati personali degli account salvati e li inserisce tutti in un semplice file di testo (.xml)



Analizzeremo dunque in breve i motivi di questa scelta da parte dei developer, in articoli successivi cercheremo invece possibili sistemi per aumentare la sicurezza del client, altrimenti Koda mi ruba le password via ssh... :P

Lascio a voi analizzare il file colpevole, si tratta di ~/.purple/accounts.xml, potete aprirlo con un editor di testo o con un browser, è indifferente. Il team di Pidgin ritiene però superfluo inserire un sistema di crittografia per aumentare la sicurezza, sia esso piu o meno avanzato, in quanto difficilmente i protocolli di messaggistica lo fanno (ne vengono elencati oltre 60 a tal proposito), sarebbe dunque una implementazione inutile dato che esistono diversi modi per reperire i dati altrui, fanno anche riferimento alla ricerca con Google :O

Effettivamente si può notare quanto sia facile svolgere queste operazioni... Pidgin è inoltre nato su piattaforma UNIX, in cui la sicurezza è già molto elevata e quindi bastano pochi accorgimenti per assicurarsi perfetta privacy, idem vale per il derivato Linux ;)

Ho avuto anche un breve dialogo (che intendo continuare) con Sean Egan, il principale sviluppatore del software in questione che altro non ha fatto se non confermarmi queste cose, che possono essere ampiamente approfondite in questa pagina.

Per il momento non ho altro da dire, se non che andrò piu a fondo e mi informerò perchè nonostante tutto è fastidioso avere dei dati importanti così in vista...

ciao a tutti :)

11 commenti:

Vittorio ha detto...

non so come sei riuscito a farlo, ma quel piccione spennato è semplicemente fantastico :D

Anonimo ha detto...

cat ~/.purple/accounts.xml
evvai, ora so come fregare la password alle mie sorelle ;-)

nudge ha detto...

10 voti per il piccione spennato :D!

Non buono questo file, spero che risolvono il problema

spillo ha detto...

il punto è che non c'è alcun problema da risolvere... è volutamente così :/ le loro ragioni sono esatte, è vero, però bisogna ammettere che è seccante avere i dati così in evidenza...

nudge ha detto...

Eeeh scusa avevo proprio letto male il tuo post. In questi giorni mi sto rendendo conto che sono di fuori :P.. si è seccante averli così in evidenza però si può implementare che solo il proprietario di quel file li può leggere, certo devi essere sfigato che ti rubino la password del proprietario o di root.

max-buck-office ha detto...

Per il piccione ti vengono assegnati in premio 10 cucù ...
Buongiorno.

Anonimo ha detto...

Ma cazzo te ne frega se le info sono in bella vista?
Nessuno te le verrà mai a prendere.

E' molto più semplice fare uno di quei siti ruba password che usano tanti bimbiminkia per farsi inculare alla grande l'account di msn. xD

Muu?

max-buck-office ha detto...

Ma chi sono sti bimbiminchia?
Scusate ma sto cercando di imparare ...
Cucù .. cucù .. cucù ..

Freddy ha detto...

Se consideriamo di mettere il file accounts.xml all'interno di un drive o criptata da un software on-fly (es. Truecrypt), per cui avendolo criptato ma utilizzabile da pidgin, ci sarebbe il modo di dare al programma il nuovo path per questo file?

Non è del tutto vero.... ha detto...

il file /.purple/accounts.xml non necessariamente contiene la password (il mio ad esempio non la contiene), il problema e che molti salvano la propria password (sotto inserisci password c'è salva password, basta non mettere la "v" in quel campo)...
Unico inconveviente? ogni volta che vi connettete dovete riscrivere la password...
Per me è meglio, così me la ricordo!!! XD

spillo ha detto...

Se ogni volta che apro pidgin dovessi inserire sette diverse password (una per ogni account che uso) sarei rovinato XD