Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 29.09.2009, 15:34  postituse pealkiri:  Hoiatus: Pidgin salvestab salasõnad tavalise tekstina!  

Unixmen on avastanud ühe olulise turvaprobleemi populaarses sõnumiprogrammis Pidgin. Niumelt selgus, et Pidgin salvestab oma paroolid kõik tavalise tekstina accounts.xml faili. Seega saab need sealt iga üks lihtsalt ja ilma igasuguse vaevata kätte.
Hetkel võimalikeks lahendusteks on - kas salasõnasid mitte salvestada või siis kasutada Master password patchi. Viimase paigalduse õpetus Ubuntule.

Allikas Unixmen

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 29.09.2009, 16:02  postituse pealkiri:  (teema puudub)  

tahaks näha seda tüüpi kes selle info sealt kätte saab.

linux pole windows.

selle saab vaid siis kätte kui logitaks minu nime ja passiga süsteemi sisse. see tüüp peab füüsiliselt tulema minu arvuti taha.

_________________
olen Troll ja ootan pingviin.org konto sulgemist.

spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 29.09.2009, 16:14  postituse pealkiri:  (teema puudub)  

Samas on tegu tavafailiga, millele iga üks ligi pääseb, kui ta uba korra su arvuti taha on saanud.
Ja Pidgin on olemas ka Windowsile muideks....

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

mihkel
Vana Pingviin
Vana Pingviin



Liitunud: 16.04.2006
Postitused: 1284

Distributsioon: Fedora/Centos
estonia.gif
postituspostitatud: 29.09.2009, 16:26  postituse pealkiri:  (teema puudub)  

Pidgin on nii salasõnu salvestanud juba aegade algusest saati. See on ka põhjus, miks ma teda ei kasuta. Minu masinates kehtib selline poliis, et mitte ühtegi salasõna ei tohi kettal krüpteerimata kujul vedeleda.
Aga eks oma masina(te) anaalsuspoliisi kehtestab igaüks ise Smile




Viimati muutis mihkel 29.09.2009, 16:27; muudetud 1 kord
sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 29.09.2009, 16:26  postituse pealkiri:  (teema puudub)  

kui juba korra arvuti taha saadud, siis saab sealt palju rohkem kätte kui mõne pidgini parooli Razz

aga jah, ega ta hea pole kui neid sellisel kujul hoitakse..

_________________
Image Image Image

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 29.09.2009, 16:28  postituse pealkiri:  (teema puudub)  

spott kirjutas:
Samas on tegu tavafailiga, millele iga üks ligi pääseb, kui ta uba korra su arvuti taha on saanud.


võimatu, linuxi failiõiguste süsteem ei lase. tollel failil on 600 seega ainult mina ise saan ligi.

arvuti juurest lahkudes tehakse ikka logout

kui pääseks ilma minu nime ja passiga sisse logimatta ligi, siis poleks linuxil mitte mingit turvalisust.

mina pean seda probleemi kriitiliseks vaid windowsi puhul. seal iga viirus sättis kõvaketta kõigile välja jagatuks. mõnel on ilma viirusetagi kõvaketas välja jagatud.


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 29.09.2009, 16:34  postituse pealkiri:  (teema puudub)  

mihkel kirjutas:
Pidgin on nii salasõnu salvestanud juba aegade algusest saati. See on ka põhjus, miks ma teda ei kasuta. Minu masinates kehtib selline poliis, et mitte ühtegi salasõna ei tohi kettal krüpteerimata kujul vedeleda.



ilmselt sul ei jookse mõnd LAMP'i ega ole seal mõnd phpbb foorumit.. seal ju andmebaasi parool täiesti alasti config.php failis Smile


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 29.09.2009, 16:36  postituse pealkiri:  (teema puudub)  

olavsu1 kirjutas:

kui pääseks ilma minu nime ja passiga sisse logimatta ligi, siis poleks linuxil mitte mingit turvalisust.


no kui kastile ligipääs olemas, siis linux single ja voila Razz selle vastu aitab muidugi partitsioonide krüptimine, kas seda keegi teeb, see on juba enda teha..

_________________
Image Image Image

mihkel
Vana Pingviin
Vana Pingviin



Liitunud: 16.04.2006
Postitused: 1284

Distributsioon: Fedora/Centos
estonia.gif
postituspostitatud: 29.09.2009, 16:37  postituse pealkiri:  (teema puudub)  

olavsu1 kirjutas:
mihkel kirjutas:
Pidgin on nii salasõnu salvestanud juba aegade algusest saati. See on ka põhjus, miks ma teda ei kasuta. Minu masinates kehtib selline poliis, et mitte ühtegi salasõna ei tohi kettal krüpteerimata kujul vedeleda.



ilmselt sul ei jookse mõnd LAMP'i ega ole seal mõnd phpbb foorumit.. seal ju andmebaasi parool täiesti alasti config.php failis Smile


Muidugi mitte. Milleks mulle mingi foorum Question


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 29.09.2009, 17:05  postituse pealkiri:  (teema puudub)  

sander85 kirjutas:
olavsu1 kirjutas:

kui pääseks ilma minu nime ja passiga sisse logimatta ligi, siis poleks linuxil mitte mingit turvalisust.


no kui kastile ligipääs olemas, siis linux single ja voila Razz selle vastu aitab muidugi partitsioonide krüptimine, kas seda keegi teeb, see on juba enda teha..


jah kui on. kuid traate mööda??? häkkerid ei hakka ju uksi lõhkuma et kastile ligi saada.


-ordi-
Vana Pingviin
Vana Pingviin


Vanus: 32
Liitunud: 13.12.2008
Postitused: 821

Distributsioon: GNU/Linux
estonia.gif
postituspostitatud: 29.09.2009, 17:51  postituse pealkiri:  (teema puudub)  

Sama hea, kui Ubuntus unustad oma parooli ära, kuidas siis ikkagi Ubuntusse pääseda?

ls /home, saad kasutajanime teada, ning siis käsk passwd "kasutaja", peale seda määrad uue parooli kasutajale, aga see on ainult siis võimalik kui oled vastava masina taga, ja passid root õigustes.


spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 29.09.2009, 19:24  postituse pealkiri:  (teema puudub)  

Kui tegu oleks olulise turvaprobleemiga, siis oleks kisa palju hullem.

Kuid samas on tegelikult siiski olulise infoga nendele, kellel arvutis mitmed pidgini kasutajad.

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 29.09.2009, 19:37  postituse pealkiri:  (teema puudub)  

Tsitaat:
Kui tegu oleks olulise turvaprobleemiga, siis oleks kisa palju hullem.


windowsi jaoks ongi hull asi. kuid eks need seal kasuta msn messengeri mitte pidgini.

_________________
olen Troll ja ootan pingviin.org konto sulgemist.

urmas
Pingviini kasutaja
Pingviini kasutaja


Vanus: 46
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
estonia.gif
postituspostitatud: 29.09.2009, 19:58  postituse pealkiri:  (teema puudub)  

Rahu, ainult rahu..

See "pidgin/gaim salvestab plaintext passworde" paanika käib iga natukese aja tagant...

http://pidgin.im/pipermail/devel/2007-June/001530.html

and so on and so on...

Põhjendus on siin http://developer.pidgin.im/wiki/PlainTextPasswords


wk
Vana Pingviin
Vana Pingviin



Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
estonia.gif
postituspostitatud: 29.09.2009, 20:21  postituse pealkiri:  (teema puudub)  

sander85 kirjutas:
no kui kastile ligipääs olemas, siis linux single ja voila Razz selle vastu aitab muidugi partitsioonide krüptimine, kas seda keegi teeb, see on juba enda teha..

"linux single" ei aita, kui lilo/grub parooliga kaitstud ning debianis nõuti mu mäletamist mööda isegi siis root-i parooli, kuis single-mode üles tuli.

Järgmiseks aitaks buutimine väliselt meedialt, selle kaitseks omakorda BIOSi seadistamine ja parooliga kaitsmine.

Järgmiseks tuleb juba arvuti avamine Wink Ja kui murdjal juba nii palju aega on, siis jääb kaitsjal üle loota failisüsteemi või selle osa krüptimisele.

_________________
Kõike hääd,
WK

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 29.09.2009, 22:58  postituse pealkiri:  (teema puudub)  

wk kirjutas:
sander85 kirjutas:
no kui kastile ligipääs olemas, siis linux single ja voila Razz selle vastu aitab muidugi partitsioonide krüptimine, kas seda keegi teeb, see on juba enda teha..

"linux single" ei aita, kui lilo/grub parooliga kaitstud ning debianis nõuti mu mäletamist mööda isegi siis root-i parooli, kuis single-mode üles tuli.

Järgmiseks aitaks buutimine väliselt meedialt, selle kaitseks omakorda BIOSi seadistamine ja parooliga kaitsmine.

Järgmiseks tuleb juba arvuti avamine Wink Ja kui murdjal juba nii palju aega on, siis jääb kaitsjal üle loota failisüsteemi või selle osa krüptimisele.


Grub peaks olema salasõnaga kaitstud vaikimisi asendusel paraku on kõik kastid vähemalt mida mina näinud olen ilma salasõnata. Debiani ei tea aga Ubuntu igatahes ei taha mingit root salasõna single modes.
Grubi mittekaitsmine salasõnaga muudab mõttetuks salasõnade kasutamise üldse winnis peab vähemalt natuke vaeva nägema, et admini salasõna ära vahetada no muidugi mitte palju.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

sadiini
Vana Pingviin
Vana Pingviin


Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
estonia.gif
postituspostitatud: 30.09.2009, 07:20  postituse pealkiri:  (teema puudub)  

Oeh!
Kui arvutile füüsiliselt ligi saadakse, siis saadakse ka info kätte v.a. siis, kui ta piisavalt karmilt krüptitud on.
Minul on näituseks kõik salasõnad vabalt kettal vedelemas ja varukoopia on mul trükitud paberile (sarnaselt pankade koodikartidega).

Juhul, kui midagi koledat juhtuma peaks, siis võtan kätte paberi ja veedan 10 min pääsukoode muutes.

Ainukesed koodid, mida kusagile üles tähendatud ei ole on kettal olevate krüptokaustade passid.

Kui keegi ka minu IM suhtluskoodid ära peaks hõivama ei juhtu sellest midagi pääsmatult koledat.

_________________
Hea tarkvara kuulab kasutaja sõna Smile

zaxon
Vana Pingviin
Vana Pingviin


Vanus: 47
Liitunud: 10.04.2006
Postitused: 478
Asukoht: Tartu
Distributsioon: Gentoo
estonia.gif
postituspostitatud: 30.09.2009, 10:54  postituse pealkiri:  (teema puudub)  

positiivne on selle loo juures siiski see, et sellest teavitatakse ehk teadlikkus võimalike ohtude ees ongi see võti, mis hoiab tundliku info kaitstuna. täpselt nagu kirjutavad Pidgini tegijad ise seletuseks - parem otseselt turvamata lahendus, millest kasutaja on teadlik ja arvestab sellega, kui poolikult turvatud lahendus, mis tekitab võltsi turvatunde.


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group