Védtelen Gaim jelszó

Aham, csak szerintem gáz, hogy egy adott Gaim fiók jelszavát egy sima dbus hívással meg lehet kapni (plaintext, titkosítás nélkül)?

Hozzászólások

onnantól kezdve, hogy pl. az msn titkosítatlanul kommunikál, annyira nem... Pedig régen kódolt volt.

hát, miután a szöveg cleartextben megy át, onnantól nem érdekel különösebben, hogy a jelszó hogy utazik. Senkinek semmi köze, mit beszélek mással, ha meg valaki le tudja hallgatni, az valószínűleg amúgyis meg tudja oldani, hogy a teljes kommunikáció az ő gépén át menjen. Innentől már csak egy lépés az, hogy szoftvert ír, és az én nevemben kommunikál, úgy, hogy megszűri a hozzám eljutó üzeneteket. Nyilván nem én leszek az ideális célpont erre, de elvi lehetősége megvan.

Röviden: ha a teljes kommunikáció titkosítatlan, akkor nem sokat oszt vagy szoroz, hogy a jelszó hogyan megy át a hálózaton, mert a jelszó ismerete nélkül is vissza lehet élni az adatokkal.

Jelzem, az accounts fileban is plaintext. :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

ée az miért jó? Ha megváltoztatod a jelszavad pl. az email szolgáltatód oldalán, akkor már a régi jelszó hasítókódja lesz a fájlban, és azzal összehasonlítva az újat nem fog egyezni, ezért nem enged be. Nem jó 5let. Bár a legröhejesebb számomra a mozilla (firefox, thunderbird, suite) jelszótárolása: base64 kódolással. Tipikus példa a hamis biztonságra.

a cleartext sem jó...

ha helyileg tárolod, hogy ne kelljen megadni, akkor az nem lehet md5-tel kódolt, ugyanis az 128 biten ábrázolt értéket képez viszonylag sok iteráció (ciklus) után, azonban az összes lehetséges bemenetek száma végtelen (elvileg bármilyen hosszú inputja lehet). Tehát ha a jelszavad md5-ben tárolod, akkor csak azt tudod ellenőrizni, hogy egy olyan jelszót adtak-e meg, aminek azonos az md5 hash-e. Az eredeti jelszó nem állítható vissza. Ebből következően nem tudod így tárolni az automatikus bejelentkezés céljára.

A base64 egy invertálható kódolás (lehet dekódolni), az inputot 6 bites darabokra vágja (azaz 64 különböző érték lehet). Ezután olvasható karakterekké alakítja (az angol abc 26 kis/nagy betűje, 10 számjegy, a / jel és talán az egyenlőségjel). A kimaradó biteket = jellel helyettesíti (a kapott kód végén egy vagy két egyenlőségjel szokott lenni).

"Ebből következően nem tudod így tárolni az automatikus bejelentkezés céljára." -- Most, hogy mondod, tényleg. Bár, ha lenne olyan opció bejelentkezésnél (POP, SMTP mittomén), hogy az md5 hash-t küldi el, akkor jó lenne. De akkor meg megint ott vagyunk, mint az elején, mert akkor meg magát a hash-t kéne úgy tárolni, hogy ne lehessen visszafejteni... Ördögi kör :( Van erre egyáltalán elméleti megoldás?

A base64-es részt tudtam, csak akkor az nem volt nyilvánvaló számomra, hogy ezt nem tudja _mindenki_, és azt hiszik, hogy a base64-gyel most aztán frankón biztonságosak a jelszavak.