IgorV
@IgorV

My WebMoney Linux хранит пароль в открытом виде

Это не вопрос, а предостережение.
Поставил недавно «My WebMoney» под Linux и обнаружил, что пароль для доступа к программе хранится в открытом виде в «~/.weblaf/wmd.security.xml». А пароль я поставил такой же как для доступа к аккаунту (для удобства) и стало мне от такого открытия немного не по себе.
Ну, а раз уж в Q/A, то вопрос такой: неужели это считается нормальным и так и положено?

  • Вопрос задан
  • 11668 просмотров
Пригласить эксперта
Ответы на вопрос 5
nochkin
@nochkin
Возможно, идёт рассчёт на то, что права доступа на файл должны быть только у владельца аккаунта (например, права 0400 или 0600).
Многие системы так хранят пароли. Ведь файл нельзя прочитать извне стандартными методами кому-то другому.

А иначе даже зашифрованный пароль можно расшифровать, ведь ключ надо будет хранить на той же машине в бинарнике webmoney. То есть, ключ потенциально можно извлечь и тогда шифрованность пароля сильной разницы не будет делать.
Ответ написан
opium
@opium
Просто люблю качественно работать
считается не нормальным ставить одинаковые пароли, ищите проблему в голове.
Ответ написан
merlin-vrn
@merlin-vrn
Как вы себе представляете автологин, если пароль хранится в компьютере зашифрованным? Ну то есть, либо вам как в ssh его каждый раз самому расшифровывать (а зачем тогда было сохранять?), либо — он хранится в открытом (ну или обратимо зашифрованном) виде. Во втором случае — можно не расшифровывать, скопировать профиль на другой комп, он и подхватится.

Пример вам — скайп. Я не знаю, как он там хранит зашифрованные пароли, но я беру профиль, копирую — работает. Значит, сохранённый пароль скайп способен расшифровать и использовать без моего участия, значит, и из него можно пароль спереть. И из файрфокса можно. И вообще так работает любая программа с галочкой «запомнить пароль».
Ответ написан
@rozhik
Нет, это не нормально. Защиты на уровне доступа к файлу не достаточно. Ведь дырок в софте, которое возможно используется у человека хватает (только у firefox + flash болье десятка э ксплоитов для получения локального файла, было за последние пар лет)
SSH к примеру может шифровать ключи фразой. Некоторые клиенты хранят у себя хэш пароля и токен или ключ авторизации от сервера (чтобы не заставлять пользователя вводить пароль). Или другие подходы.
Ответ написан
IgorV
@IgorV Автор вопроса

Вы меня не правильно поняли. Это пароль не для автологина, а для запуска программы. Просто я его сделал таким же как и для логина на вебмани, что б не запоминать ещё один пароль. И полагал, что в таком случае он будет просто хранить хэш от пароля.

Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы