Contraseñas en Pidgin
Lo que me acabo de enterar en VLAN7 es de terror: pidgin guarda las contraseñas en texto plano.
Sí, así como leyeron. Resulta que el popular programita de la paloma morada tiene un grave bug o error de diseño, por el cual todas las claves de los servicios configurados en él quedan almacenadas y pueden ser leídas directamente.
Quienes usen Pidgin, busquen el archivo accounts.xml en su home y van a encontrarse con cosas como esta:
<account>
<protocol>prpl-jabber</protocol>
<name>gfuentes@gmail.com/Home</name>
<password>contraseña-en-texto-plano</password>
<alias>Guty – http://dalgrev.com.ar</alias>
<statuses>
Lo de arriba se repite con cada cuenta configurada y puede tener más o menos datos, pero lo peligroso es la clave fácilmente legible.
La única restricción existente es que el archivo en cuestión se aloja en el /home del usuario, lo cual no es muy seguro.
Posts relacionados:
- Algunos bugs Como algunos (varios) habrán notado, la semana pasada el blog tuvo una caída, que no fue completa pero molestó...
- Ay, karamba! ACLARACION: este post apareció originalmente en Dalgrev Tech, pero para que no me tilden de flojo, y vean que...
- Huevos de pascua en Mozilla El otro día en los comentarios de unos links de lunes, hablábamos sobre huevos de pascua en la consola...
- Contraseñas seguras Kevin Mitnick pasó por México y dejó una ola de notas en los portales de noticias. Y no es...
- Links de lunes Pasaron las elecciones primarias y más allá del resultado hay muchas cosas que nos dejaron, por ejemplo la gran...
Compartir este Post
18 Comentarios
« Es lo que me hace más feliz Post Siguientes
Update y lo que viene »
Posts más votados
Tweets recientes Follow
- Cargando Tweets..
Información Bitacoras.com…
Valora en Bitacoras.com: Lo que me acabo de enterar en VLAN7 es de terror: pidgin guarda las contraseñas en texto plano. Sí, así como leyeron. Resulta que el popular programita de la paloma morada tiene un grave bug o error de diseño, por el cual tod…..
¿Y el problema?
Digo… otros usuarios no pueden leer los archivos de tu ~, así que cifrarlo sería redundante. Por su parte, root puede hacer “su tuUser passwd”, y cambiar tu contraseña para entrar a tu cuenta…
Viste? El pidgin es una mierda. ja
@Usuario curioso
O más simple, en un cyber.
Nada, pero nada debe estar guardado en texto plano. Hay casos donde un usuario de sistema se comparte entre varias personas y cada uno usa el pidgin con sus cuentas y lo cierra cuando deja la pc para ir al baño
AMSN también guarda las contraseñas, pero cifradas.
@Zim
Jejeje, al final tenías razón
No, boludo, esto es mortal, yo pongo “Reply” y me calza el @nick con el link al comentario. Esto es fantástico, te lo pienso afanar!
El pass en texto plano me la fuma, tengo peores cosas en el /almacen/ como para preocuparme porque alguien en mi PC pueda entrar a mi cuenta de mail. Además, si guardaste el pass, ya le estás regalando a cualquier que entre.. Supongo que no guarda en texto plano ningún pass si le indicás que no lo recuerde.
Ufff… los usuarios de Adium (basado también en libpurple) zafamos: en accounts.xml no se guardan las contraseñas.
Che, como que no tengo ese archivo
(digo… 
, debería estar contento)
@Marcos Varela
Como dice Halle, si no guardás las contraseñas, no deberían quedarte almacenadas en ningún archivo.
Ya que estamos en eso… ¿Sabés que Firefox también guarda tus contraseñas?
“Encriptadas”, claro. Por supuesto, dado que puede autocompletar los campos sin pedir una contraseña maestra, significa que tiene una forma de desencriptarlas automáticamente: Guarda la clave junto con el archivo encriptado… o sea, encriptación de juguete.
@Guty
Pero yo las guardo, por eso me parece raro. Bueno, si no tengo ese archivo será otro… no me voy a hacer drama por eso
@Usuario Curioso
Eso es porque al ingresar por primera vez a un sitio con user/pass, Firefox pregunta si uno desea guardar los datos de ese sitio, si le damos que sí nos va a guardar el registro e incluso loguear automáticamente al acceder a la url.
El tema es que por lo menos aMSN y Firefox (por nombrar algunos) se toman la molestia de encriptar las claves y pidgin te las deja a la vista.
@Guty
A ver.
Sí, Firefox las encripta: no están en texto plano. ¿Es “más seguro”? Sí, quizá, mínimamente: hay que robar 2 archivos en vez de 1. ¿Es _seguro_? No.
Y, según otros usuarios, en Pidgin, si no marcás “Guardar contraseña”, no la guarda.
No digo que sea seguro, pero lo es más que tener la clave en texto plano.
De todos modos, lo que corresponde es no permitir al software guardar las contraseñas. Creo que estamos de acuerdo
Incluso, yo diría que lo de FF es peor porque da una falsa sensación de seguridad.
No realmente. Yo guardo mis contraseñas en mi Firefox, porque es más fácil, pero sé que comodidad y seguridad son cosas que no se pueden tener juntas.
Firefox, por lo menos, provee una opción de usar una contraseña maestra, de manera que no basta con robar esos dos archivos… aunque hay que escribirla cada vez que abrimos FF.
Dada la relación entre comodidad y seguridad, esta opción es obviamente más incómoda que no necesitar memorizar nada, y más cómoda que memorizarlas todas. Igualmente, robar las contraseñas en base a los dos archivos ahora es más complejo (no basta solo tenerlos), pero posible (fuerza bruta, como mínimo).
Solamente la versión PORTABLE de Pidgin así como la de muchos otros como por ejemplo Filezilla guardan las contraseñas en texto plano.
Saludos
@Usuario curioso
es verdad, uno siempre debe buscar el punto de equilibrio entre seguridad y comodidad, de todos modos la encriptación siempre da un poquito más de confianza y algo más de laburo al atacante.
Tener una contraseña como llave para las demás es interesante, es menos para memorizar, pero también está el tema que si te roban esa contraseña, te roban todas.
En fin, da para largo, la verdad.
Te agradezco la participación en el post, fue realmente enriquecedor.
@**Juanito**
yo tengo la versión standar, es más desconocía que exista una portable y me salen las cuentas en plano, como sea, no deberían estar legibles sea la versión que sea.
Lo de Filezilla no lo sabía, pero me acuerdo que en una época el ws_ftp también guardaba claves en plano.
Me sorprende que esto surja cada tanto como algo nuevo.
http://developer.pidgin.im/wiki/PlainTextPasswords
Mirá vos, pero acá es la primera vez que surge el tema, eh!
Gracias por el aporte.