Это вики сообщества. Мне бы очень хотелось, чтобы мысли других людей об этом. Я также не хочу обсуждать этику хранения паролей в виде простого текста.
Для тех, кто незнаком, libpurple - это библиотека, используемая Pidgin, и когда вы решаете сохранить свои пароли, она делает это как обычный текст в ~/.purple/accounts.xml
.
Причиной этого является то, что если кто-то может получить доступ к вашей учетной записи пользователя, у вас есть большие проблемы, из-за других действительных точек .
Меня больше всего беспокоит то, что я использую свою учетную запись Gmail в Pidgin, и поэтому мой пароль Gmail хранится в виде обычного текста. Доступ к чьей-либо электронной почте означает доступ к 90% других учетных записей с помощью функций восстановления пароля на большинстве сайтов. EEEK .
Считайте, что ...
Насколько это безопасно на самом деле? Существуют ли другие угрозы, которые потенциально могут получить доступ к account.xml?
Обновление
Спасибо за ответы! Пока что:
Я рад, что мои данные безопасно в случае кражи. Меня больше беспокоит какой-то процесс, созданный для нацеливания на эти незащищенные файлы. С другой стороны, природа программного обеспечения с открытым исходным кодом усложняет работу злонамеренных приложений, так как при проверке общедоступного кода будет обнаружен вредоносный код.
Если вы можете вспомнить любые другие векторы, через которые можно получить доступ к этим данным учетной записи, я бы хотел их услышать:)
По большей части, если кто-то имеет физический доступ к машине, защита является недействительной. Что касается «других пользователей», если они не пытаются получить доступ к файлам и могут просто наткнуться на них, просто установите разрешения для вашей домашней папки, чтобы никто другой не имел доступа, кроме вас.
Что касается безопасности в сети, мне трудно поверить, что кто-то проникнет в ваши личные файлы, если вы небрежно не оставите порты открытыми. Если вы заинтересованы, используйте Gufw для управления брандмауэром. Вы также можете проверить с этого сайта, есть ли у вас дыры в безопасности: https://www.grc.com/x/ne.dll?bh0bkyd2
Также вы можете прочитать это обзор безопасности на форумах Ubuntu: http://ubuntuforums.org/showthread.php?t=510812
Я надеюсь, что это может помочь вам!
Итак, ваша задача - приложение, которое хранит конфиденциальные данные в виде открытого текста. Вот несколько предложений:
Если ваш / home зашифрован, то единственный способ восстановить пароль - это дешифровать его. Единственный способ сделать это (если у вас не очень большая ферма серверов и много времени) - это пароль. Это может быть подстроено во времени, поэтому убедитесь, что это очень надежный пароль.
Итак, в целом, это довольно безопасно. Я лично был бы рад сохранить мой пароль Gmail в зашифрованном каталоге / home.
Я обычно создаю зашифрованный каталог Private и конфигурацию гибридного языка перемещения и любую другую более опасную информацию (.ssh, и т.д.) в ~ / Частный. Я затем создаю символьные ссылки для каталогов в их исходных местоположениях. Для создания зашифрованного каталога Private использовать
ecryptfs-setup-private
Вы, возможно, должны установить пакет также:
sudo apt-get install ecryptfs-utils
Дополнительную информацию см. в этом