[ Ubuntu-cm ] Faille de sécurité dans pidgin

[Izane F.G.]

Salut!

Je vois très bien l'ampleur du problème. En réalité, aucune sécurité 
n'est garantie dans les protocoles de messagerie instantanée. Pour ce 
problème, on pourrait écrire un script shell qui, à la fermeture de 
pigdin, crypte le fichier "accounts.xml" et à son ouverture, le décrypte 
avant que pidgin ne l'utilise. Ecrire un script pareil ne prendrait pas 
du temps. On configurera donc l'interface graphique pour que lors d'un 
clic sur l'icône de pidgin, il lance le script.

De manière générale, une personne ne devrait pas avoir accès à la 
session d'une autre personne. C'est par cette faille qu'on pourrait 
facilement récupéré ce fichier. Sachez que 90% des faille de sécurité 
dans les entreprises sont de cause humaine et non matérielle ou logicielle.

Brice, si tu veux on met en place le script ;)

Portez vous bien :)



Le 21/03/2010 19:45, Brice EKOBE a écrit :
> Bonjour a tous
>
> je sais le titre est peut etre fort, mais j'ai été horrifier lorsque
> j'ai ouvert mon fichier account (/home/Rep_Perso/.purple/accounts.xml).
> Je me suis rendu compte que mon mot de passe s'y trouver en clair<account>
> <name>Compte</name>
> <passwd>Pass</passwd>
> </account>
>
> je ne sais pas si c'est moi qui ai mal fait quelque chose, mais pidgin
> ne crypte pas le mot de passe avant de l'enregistrer (enfin pour ceux
> qui mémorise les mots de passe). Et ca c'est une grosse faille ca. ca
> veux dire que pour peut que j'ai accès a ce fichier je peut récupérer le
> mot de passe d'un user. Et comme si ca ne suffisait pas le tout le monde
> a le droit de lecture sur ce fichier.
>
> Donc a tous ceux qui utilise pidgin : be carefull.
>
> Je ne sais pas si c'est pareil pour emphaty, mais ca me fait peur grave.
> Faut que je trouve une solution a ca.
>
>