inv*_*ert 8 security user-space password
这是一个社区维基。我真的很想知道其他人对此的看法。我也不想讨论存储纯文本密码的道德问题。
对于那些不熟悉的人,libpurple 是 Pidgin 使用的库,当您选择保存密码时,它会以纯文本形式保存在~/.purple/accounts.xml.
这背后的原因是,如果有人可以访问您的用户帐户,那么除了其他有效点之外,您还有更大的问题需要担心。
我主要担心的是我在 Pidgin 中使用我的 gmail 帐户,因此我的 gmail 密码以纯文本形式存储。访问某人的电子邮件意味着通过大多数网站上的密码恢复功能访问他们 90% 的其他帐户。哎呀。
考虑一下...
这真的有多安全?是否还有其他可能访问accounts.xml 的威胁?
更新
感谢您的回复!到目前为止有:
我很高兴我的数据在被盗时是安全的。我更担心一些专门针对这些不安全文件的流程。再说一次,开源软件的性质使得恶意应用程序难以使用,因为公共代码审查会暴露恶意代码。
如果您能想到可以访问这些帐户详细信息的任何其他向量,我很想听听它们:)
在大多数情况下,如果任何人能够物理访问机器,安全性就无效。至于“其他用户”,如果他们没有尝试访问这些文件并且可能只是偶然发现它,只需在您的主文件夹上设置权限,这样除了您之外其他人都没有任何访问权限。
就网络安全而言,我发现很难相信有人会进入您的个人文件,除非您不小心打开端口。如果您担心,请使用Gufw来管理您的防火墙。您还可以从此网站检查是否存在某种安全漏洞:https://www.grc.com/x/ne.dll ?bh0bkyd2
您还可以在 Ubuntu 论坛上阅读此安全概述:http://ubuntuforums.org/showthread.php ?t=510812
我希望这可以对您有所帮助!
因此,您关心的是以明文形式存储敏感数据的应用程序。以下是一些建议: