Gaim/Pidgin - Page 1

J'étais en train de regarder dans les fichiers de conf de Pidgin (un équivalent libre à M$N ) et là je vois dans le fichier "accounts.xml" qu'il stocke les mdp en clair, et ce sur les sessions MSN tout comme Jabber (donc je pense qu'il le fait pour tous).

C'est quoi ce délire ? Quel genre d'applicaton stocke les mdp en clair dans un fichier de conf ?

Si j'avais que ça à faire j'irais poser la question sur leur mailing list tiens

J'aime bien les libristes, mais des fois ils sont vraiment trocons Et après c'est les même qui font "ouais mais moi j'utilise OpenBSD au moins mon système est ultra secure".

Je suis à mi chemin entre l'amusement et l'énervement.

Edited_3663

Quel rapport avec le libre ?

Je détaille : ce n'est pas parce qu'un application libre n'est pas de bonne qualité que le logiciel libre (en général) n'est pas de bonne qualité.
C'est comme si je disais que j'avais vu une voiture jaune qui roulait mal, et que je me permettais de dire que les voitures jaunes roulent mal. Des voitures rouges peuvent aussi mal rouler...

Orion_ (./2) :

Poisson_Pilote (./1) :
un équivalent libre à M$N

msn n'est pas payant pour autant que je sache ? donc sed s/'\$'/S/g

Ouais mais c'est la firme de redomond donc je mets un $ si je veux

Et le rapport avec le libre ? Bah pidgin est un logiciel libre

Sasume (./4) :
Je détaille : ce n'est pas parce qu'un application libre n'est pas de bonne qualité que le logiciel libre (en général) n'est pas de bonne qualité.
C'est comme si je disais que j'avais vu une voiture jaune qui roulait mal, et que je me permettais de dire que les voitures jaunes roulent mal. Des voitures rouges peuvent aussi mal rouler...

J'aurai plutôt dit: ce n'est pas parce que la majorité des applications libre sont de mauvaise qualité qu'une en particulier le sera. ça ne s'applique pas dans ce contexte mais c'est plus proche de la réalité...

PS1: Et oui j'aime troller.
PS2: Si on supprime "libre" ça reste vrai malheureusement
PS3: Mais les chances de tomber sur une bonne appli libre restent quand même plus faibles...

D'un point de vue purement sécuritaire, ce qui est déjà délirant, c'est qu'une appli stocke les mots de passe, les entrées de formulaires et autres données de ce type

Mais le stockage de mots de passe en clair n'est VRAIMENT pas malin, c'est clair...

GoldenCrystal (./6) :
PS1: Et oui j'aime troller.
PS2: Si on supprime "libre" ça reste vrai malheureusement
PS3: Mais les chances de tomber sur une bonne appli libre restent quand même plus faibles...

Bof, sur OS X je n'utilise quasiment que des applis libres (ou gratuites) en plus de celles de base et elles sont globalement de super bonne qualité
Sur Windows, les applis sont en moyenne moins bonnes (y compris les commerciales), mais c'est quand les codeurs continuent à coder pour Vista comme ils codaient pour Windows 3.11 Et comme pour des raisons de compatibilité ça marche souvent encore, ils ne changent pas leurs habitudes :/ Il y a des rumeurs comme quoi Seven va changer ça (la compatibilité serait assurée via une « machine virtuelle » qui rendrait disponible l'API Windows <= XP )

Ça sert à quoi de crypter le mot de passe? Il peut être dérypté trivialement. La seule solution, c'est un stockage crypté avec un mot de passe, mais du coup ça réduit un peu l'intérêt de stocker le mot de passe. Et pour que ce soit utile, il faut un stockage commun pour toutes les applications (pour avoir besoin d'entrer le mot de passe seulement une fois), et ça voudrait dire que Pidgin deviendrait dépendant de KWallet ou gnome-keyring-daemon. Et je suis sûr qu'une grande partie des utilisateurs utilisent un KWallet sans mot de passe. (gnome-keyring-daemon l'interdit, mais 1. c'est lourd et 2. tout ce que ça encourage, c'est les "mots de passe" à la "1234".)

Kevin Kofler (./9) :
Ça sert à quoi de crypter le mot de passe? Il peut être dérypté trivialement. La seule solution, c'est un stockage crypté avec un mot de passe, mais du coup ça réduit un peu l'intérêt de stocker le mot de passe. Et pour que ce soit utile, il faut un stockage commun pour toutes les applications (pour avoir besoin d'entrer le mot de passe seulement une fois), et ça voudrait dire que Pidgin deviendrait dépendant de KWallet ou gnome-keyring-daemon. Et je suis sûr qu'une grande partie des utilisateurs utilisent un KWallet sans mot de passe. (gnome-keyring-daemon l'interdit, mais 1. c'est lourd et 2. tout ce que ça encourage, c'est les "mots de passe" à la "1234".)

Bah non, je suppose que la KWallet n'est accessible que par l'utilisateur en cours et donc faut qu'il soit loggué sur la machine... Ça réduit déjà beaucoup les risques... Sinon, suffit de booter sur une clef USB pour lire ton mot de passe, c'est beaucoup moins sécurisé

Ça sert à quoi de crypter le mot de passe? Il peut être décrypté trivialement.

Casser du MD5 je n'appelle pas ça trivial

Poisson_Pilote (./11) :

Ça sert à quoi de crypter le mot de passe? Il peut être décrypté trivialement.

Casser du MD5 je n'appelle pas ça trivial

Sauf que s'il est stocké en md5, il ne risque pas d'être réutilisé pour se logguer sur msn

Et oui la majorité des utilisateurs utilisent KWallet sans mot de passe (en réalité, on ne l'utilise tout simplement "pas", il faut le désactiver carrément), et oui la majorité des utilisateurs utilisent Firefox sans mot de passe. Mais tu sais (au moins pour KWallet, car firefox c'est moins clair) que tes mots de passe seront lisibles facilement, et que tu as la possibilité de les protéger. Sur ton propre PC ça sert probablement à rien, car si tu peux chopper quelque chose qui lit tes mots de passe par inadvertance, tu as beaucoup plus de chances de chopper un keylogger directement. Par contre sur un PC où tes fichiers sont potentiellement accessibles à d'autre, ça prend tout son sens...
Mais c'est clair que stocker les mot de passe en clair c'est débile. Après tu jettes ton dd à la poubelle, un mec le récupère et arrive à lire des données dessus (peut être pas toutes vu qu'a priori tu n'as pas jeté ton disque dur pour rien), et en faisant une recherche de texte, il tombe sur des mots de passe en clair. Ah mais heureusement c'est super difficile de mettre en correspondance les login et les mots de passes stockés côte à côte dans le même fichier, ah oui

GoldenCrystal (./13) :
Et oui la majorité des utilisateurs utilisent KWallet sans mot de passe (en réalité, on ne l'utilise tout simplement "pas", il faut le désactiver carrément), et oui la majorité des utilisateurs utilisent Firefox sans mot de passe.

Mais si tu n'es pas loggué, la KWallet n'est pas lisible en clair, j'espère ?

je suis presque sur qu'il y a un cryptage faible, mais faudrait vérifier plus en détail ^^

Il y a un cryptage, mais un cryptage sans mot de passe est trivial à contourner, il suffit de lire les sources. (Et non, rendre les sources propriétaires ne sert à rien, les désassembleurs, ça existe.)

Oui mais si tu interceptes un paquet de données, c'est plus facile de trouver du texte dedans que de trouver des données cryptées en "X" même si "X" utilise une clef connue publiquement...

Flanker (./12) :

Poisson_Pilote (./11) :

Ça sert à quoi de crypter le mot de passe? Il peut être décrypté trivialement.

Casser du MD5 je n'appelle pas ça trivial

Sauf que s'il est stocké en md5, il ne risque pas d'être réutilisé pour se logguer sur msn

Le protocole utilisé par MSN chiffre bien les données qu'il fait transiter quand même ?

Franchement pour pidgin (que j'utilise uniquement parce que Windows Live Messenger est trop lourd pour l'eeepc) que les mdp soient stockés en clair ou non j'en ai rien à battre, mon pc je le prête jamais
Et si je le perds, de toute façon je change toutes mes coordonnées et mdp

Bon, pour Kevin, qui a manifestement du mal à croire que le monde n'est pas composé que de gros nerds : si tu cryptes ton mot de passe basiquement, ça évite au moins que ton petit frère ou n'importe quel comique incompétant mais sachant lire te squatte ton compte. Les pirates casseurs de md5, ça ne court pas les rues quand même si ?

./20 : vrai, cela maintient juste le point qu'un mdp stocké en md5 ne sert à rien dans le cas d'applications type pidgin. En revanche, un mdp protégeant un kwallet encodé en md5 avec salt c'est déjà plus que suffisant pour le commun des mortels...

./19 : la moindre faille, et ton mot de passe sera récupéré trivialement. A partir de là, on a ton mot de passe mail => utilisé comme spam par exemple. On récupère tes listes de contacts (selon le fournisseur mail, bien sûr ), on récupère tes mails perso etc.

Personnellement, une perte ou un vol de mot de passe sur mon adresse mail serait une cata...

- une apps qui fonctionne comme pidgin ne peut pas encrypter le mdp pke ca doit effectuer la connection avec un serveur distant (ou alors fautdrait que les auth. permettent directement de checker avec le hash du mdp ce dont je ne suis pas sur)
- le md5 n'est pas securise, mais n'est pas trivial non plus a peter

nEUrOO (./22) :
- une apps qui fonctionne comme pidgin ne peut pas encrypter le mdp pke ca doit effectuer la connection avec un serveur distant (ou alors fautdrait que les auth. permettent directement de checker avec le hash du mdp ce dont je ne suis pas sur)

Bah il faut utiliser un chiffrement symétrique, ça on est d'accord... mais ce n'est pas une raison pour le laisser en clair

et si tu peux soumettre directement le hash, ça revient au même si tu as le hash en clair ou le mot de passe en clair...

nEUrOO (./22) :

- une apps qui fonctionne comme pidgin ne peut pas encrypter le mdp pke ca doit effectuer la connection avec un serveur distant (ou alors fautdrait que les auth. permettent directement de checker avec le hash du mdp ce dont je ne suis pas sur) - le md5 n'est pas securise, mais n'est pas trivial non plus a peter

- l'authentification via le hash directement ne sert strictement à rien, cela revient à dire que le mot de passe *est* le hash, et donc le mdp est en clair.
- non, mais un md5+salt par exemple est clairement mieux qu'un mdp en clair.

Flanker (./23) :
Bah il faut utiliser un chiffrement symétrique, ça on est d'accord... mais ce n'est pas une raison pour le laisser en clair

Exactement, d'où l'utilisation de kwallet (par exemple) ou équivalent, avec mot de passe général protégeant l'ensemble des autres mots de passe.

PS: Les gars de pidgin expliquent clairement ici.

./25 : ramassi de conneries qu'ils disent...

Instant messaging is not very secure, and it's kind of pointless to spend a lot of time adding protections onto the fairly strong file protections of UNIX (our native platform) when the protocols themselves aren't all that secure.

Connerie : c'est pas parce que sur la chaine A <=> B <=> C, si B n'est pas secure, alors A et C n'ont pas à l'etre. Donc en fait, vu que pidgin est pas sécurisé et que mon ordi l'utilise, alors j'ai pas besoin de sécuriser mon ordi => plus de mots de passe \o/
De plus, beaucoup utilisent le même login/mot de passe sur un IM, que pour leur boite mail => ils ajoutent eux même un énorme trou de sécu pour les *données* personnelles de leurs utilisateurs.
Et c'est pas parce que certains protocoles sont pas sécurisés qu'il faut étendre le raisonnement à tous.

The way to truly know who you are talking to

Le problème n'est pas là => bullshit.

Secondly, you shouldn't be using your instant messaging password for anything else.

C'est pas à eux de déterminer les modes d'utilisation, c'est aux utilisateurs, et à eux de s'adapter. Je suis persuadé que nombre d'entre eux utilisent au moins un compte IM également boite mail.

Store a password(s) behind a password

kwallet.

Obscure a password.

idem. De plus, un bon système clé privé/publique supprime leur objection. Et c'est pas ce qui est demandé de toute façon.

Store the password in plain text and control access to the file. This is what libpurple (and therefore Pidgin and Finch) does: the password is in accounts.xml in plain text, but the file itself is only readable by its owner. We allow the user to determine under what conditions sensitive files should be opened (if at all), and what constitutes a breach of security.

Bof... boot USB ou live CD.

Lastly, you can not store passwords at all.

C'est sans doute le mieux à faire, sauf que... Quand on utilise plusieurs IM (msn, irc, jabber/gtalk), ça veut dire : au démarrage, taper 3 (ou plus de ) mots de passe. Youpi.

cf leur lien, une seule conclusion : use kopete.

Adium, qui utilise la libpurple, utilisée par Pidgin, stocke les mots de pass dans la keychain de l'utilisateur
Donc, si tu veux du libre bien, c'est sur mac !

il fait la meme chose sous windows, pidgin ?

si oui, je vais m'amuser

On a pensé à la même chose à ce que je vois