JulmaJumala  - 51
Experte
(offline)
Dabei seit 10.2009
1055
Beiträge
|
Geschrieben am: 14.01.2011 um 09:48 Uhr
Zuletzt editiert am: 14.01.2011 um 09:49 Uhr
|
|
Ich hab bei mir Pidgin 2.7.9 installiert (unter Linux) um ICQ und den Facebook-Chat halbwegs bequem betreiben zu können und war bislang auch recht zufrieden mit diesem Programm. Allerdings hab ich neulich im Rahmen einer Betriebssystemumstellung (Xubuntu => Arch) ein wenig in die Interna geschaut, um nicht alle Einstellungen neu machen zu müssen und habe dabei festgestellt, dass der Pidgin seine Daten in
Zitat: /home/<Benutzername>/.purple
abspeichert. Und was mir dabei gar nicht gefallen hat, ist die Datei "accounts.xml", denn darin werden (nomen est omen...) meine Account-Daten gespeichert, inclusive Passwort, und zwar unverschlüsselt.
Linux ist zwar von Haus aus relativ sicher, aber es gibt ja auch eine Windows-Version von Pidgin ... und ca. eine gefühlte Milliarde Trojaner!
Nutzt noch jemand Pidgin? Evtl. unter Windows? Gibt es da auch so eine Datei im Klartext?
andy@Joshua:~$ man woman // Segmentation fault (Core dumped)
|
|
Sodomator - 24
Halbprofi
(offline)
Dabei seit 08.2009
344
Beiträge
|
|
Geschrieben am: 14.01.2011 um 10:20 Uhr
|
|
Eine accounts.xml gibt es auch in der Windowsversion. Auch im Ordner .purple. Zumindest bei Win7.
"Germany?", can someone lend us a bomb?
|
|
phoenix89 - 37
Experte
(offline)
Dabei seit 12.2005
1749
Beiträge
|
|
Geschrieben am: 14.01.2011 um 10:48 Uhr
|
|
.purple auch unter WinXP - jedoch ohne gespeichertes Passwort. Sofern ich mich nicht arg verlesen habe, und unter Version 2.7.5
|
|
Klischeepunk - 41
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
|
Geschrieben am: 14.01.2011 um 10:53 Uhr
|
|
Zitat von JulmaJumala: Ich hab bei mir Pidgin 2.7.9 installiert (unter Linux) um ICQ und den Facebook-Chat halbwegs bequem betreiben zu können und war bislang auch recht zufrieden mit diesem Programm. Allerdings hab ich neulich im Rahmen einer Betriebssystemumstellung (Xubuntu => Arch) ein wenig in die Interna geschaut, um nicht alle Einstellungen neu machen zu müssen und habe dabei festgestellt, dass der Pidgin seine Daten in
Zitat: /home/<Benutzername>/.purple
abspeichert. Und was mir dabei gar nicht gefallen hat, ist die Datei "accounts.xml", denn darin werden (nomen est omen...) meine Account-Daten gespeichert, inclusive Passwort, und zwar unverschlüsselt.
Linux ist zwar von Haus aus relativ sicher, aber es gibt ja auch eine Windows-Version von Pidgin ... und ca. eine gefühlte Milliarde Trojaner!
Nutzt noch jemand Pidgin? Evtl. unter Windows? Gibt es da auch so eine Datei im Klartext?
Ich speichere meine PWs nicht, da ich das für kritisch halt, selbst wenn sie verschlüßelt sind. Von daher kann ich dir leider keine Auskunft über den Inhalt geben. :)
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
JulmaJumala - 51
Experte
(offline)
Dabei seit 10.2009
1055
Beiträge
|
|
Geschrieben am: 14.01.2011 um 10:55 Uhr
|
|
Zitat von phoenix89: .purple auch unter WinXP - jedoch ohne gespeichertes Passwort. Sofern ich mich nicht arg verlesen habe, und unter Version 2.7.5
Wahrscheinlich gibt es (wie bei verschiedenen E-Mail-Clienten) auch die Möglichkeit, das Passwort immer explizit ein zu geben, und nicht zu speichern... In diesem Fall wird das Passwort wohl auch nicht in der Datei auftauchen.  Vllt. ist das hier so.
WENN es da ist, müsste es ca. in der 7. Zeile der Datei stehen.
andy@Joshua:~$ man woman // Segmentation fault (Core dumped)
|
|
phoenix89 - 37
Experte
(offline)
Dabei seit 12.2005
1749
Beiträge
|
|
Geschrieben am: 14.01.2011 um 11:14 Uhr
|
|
Zitat von JulmaJumala: Zitat von phoenix89: .purple auch unter WinXP - jedoch ohne gespeichertes Passwort. Sofern ich mich nicht arg verlesen habe, und unter Version 2.7.5
Wahrscheinlich gibt es (wie bei verschiedenen E-Mail-Clienten) auch die Möglichkeit, das Passwort immer explizit ein zu geben, und nicht zu speichern... In diesem Fall wird das Passwort wohl auch nicht in der Datei auftauchen. Vllt. ist das hier so.
WENN es da ist, müsste es ca. in der 7. Zeile der Datei stehen.
Verzeih', ich habe nicht in Betracht gezogen, dass du deine Passwörter gespeichert haben könntest, da mir das ebenfalls zuwider ist. ^^
Gerade nach deiner Entdeckung würde ich dir zu selbigem Vorgehen raten. ;)
|
|
JulmaJumala - 51
Experte
(offline)
Dabei seit 10.2009
1055
Beiträge
|
|
Geschrieben am: 14.01.2011 um 11:41 Uhr
|
|
Wobei ich speziell bei Pidgin / ICQ dachte, man hat gar nicht die Möglichkeit, das Passwort händisch ein zu geben bei jedem einloggen... Muss ich mir nochmal anschaun, vllt. failt mein Gedächtnis da.
Aber zum Thema: Eine simple XOR-Verschlüsselung würde wenigstens die Hinterhof-Hacker und Scriptkiddies vom Missbrauch abhalten, das wäre nicht zuviel verlangt meiner Meinung nach.
Naja, seis drum. Trau, schau wem.
andy@Joshua:~$ man woman // Segmentation fault (Core dumped)
|
|
Klischeepunk - 41
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
|
Geschrieben am: 14.01.2011 um 12:39 Uhr
|
|
Zitat von JulmaJumala: Wobei ich speziell bei Pidgin / ICQ dachte, man hat gar nicht die Möglichkeit, das Passwort händisch ein zu geben bei jedem einloggen... Muss ich mir nochmal anschaun, vllt. failt mein Gedächtnis da.
Ich würde sagen es trügt, bei jedem Login muss ich mein Jabber und ICQ PW angeben :) - die Dienste nutz ich über Pidgin.
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
-IceT- - 32
Halbprofi
(offline)
Dabei seit 09.2009
255
Beiträge
|
|
Geschrieben am: 14.01.2011 um 14:42 Uhr
|
|
Bei Konten verwalten kann man, da wo man auch sein Nutzernamen eingibt, den Haken bei "Passwort speichern" wegmachen ;)
ҳҳ TO STER ҳҳ | checksch? ;D
|
|
[