• Когда меня просят написать пароль в открытый всем ветрам файлик, да еще в тегах <secret></secret> почему-то очень хочется повеситься.

Replies (8)

  • @SIUR, права на файлик выстави?
  • @easyjohn, угу, повесь вместо входной двери шторку из ванной.
  • @SIUR, на столько не верить собственной фс?
  • @SIUR, а вот пиджин (вернее, libpurple) хранит пароли к IM-аккаунтам открытым текстом в -rw------- файлике. И ни капельки не стесняется этого.
  • @ulidtko, как мило
  • @SIUR, жаббер в отличии от пиджина живет под своим юзером, и кроме него там никого нет, не так уж и страшно.
  • @SIUR, суть в том, что security by obscurity, по одной из точек зрения, — злое зло, особенно в FOSS мире. То есть, по-настоящему надёжно защитить паролики можно только зашифровав их другим пароликом, ключём. Все остальные «шифрования» при некотором количестве усилий раскрываются. Пример легко гуглится по «password recovery psi»; psi xor'ит пароли с каким-то хешем от jid'а, а в интернете буквально 1000+1 скрипт по обращению такого преобразования.

    Возможных выходов буквально два: хранить пароль в общесистемных "связках ключей" (и заставлять юзера помнить пароли от связок), или просто -rw-------.
  • @ulidtko, для случая воровства ключа сторонней программой — разницы никакой, что плейтекстом, что обращаемым ксором. то есть надежнее на уровне доступа перекрыть возможность прочитать фаил с паролем.