Gdesklets turvariski Ubuntussa!

Pärsereikä

Löysin vahingossa pienen turva-aukon tonkiessani tiedostoja tosin tämä on todella helppo korjata;

En muista toisista distroista mutta Ubuntu antaa lukuoikeudet useimpiin /home alla oleviin käyttäjäkansioihin. Jos käytössä on gdeskletin sähköposti-apletti Sidecandy Popmail niin käyttäjän sähköpostipalvelimen tunnukset ja salasanat ovat selväkielisinä luettavissa /home/'user'/.gdesklets/registry/configxxxxxxxx.db

eli heti tekemään omat tiedostot yksityisiksi ellei halua kaverin koplaavan sun sähköposteja.

Asiasta viidenteen, poistin gdesklets tray-ikonin enkä löydä asetusta millä sen saa takaisin. /usr/lin/gdesklets/config/settings.py Tray-icon = true mutta ilmeisesti oikea arvo on jossakin kotihakemistossa, tietäisikö joku nopeasti mistä se löytyy ettei tar kaikkea plärätä?

10

713

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • huviksesi

      lukea se tiedosto toisena käyttäjänä, jossa tunnukset on..

      • Pärsereikä

        No niin mä kokeilinkin, kirjauduin toisena käyttäjänä jolle olen antanut mahd. vähän oikeuksia (eräänlainen vieras-tili) ja lueskelin sieltä omat tunnukseni hemmetti vieköön. Onnistuu!

      • korjataan?
        Pärsereikä kirjoitti:

        No niin mä kokeilinkin, kirjauduin toisena käyttäjänä jolle olen antanut mahd. vähän oikeuksia (eräänlainen vieras-tili) ja lueskelin sieltä omat tunnukseni hemmetti vieköön. Onnistuu!

        ajattelin piilottaa kaikki omat tiedostot.
        chmodin manista ajattelin, että se voisi mennä:
        chmod -R 700 ~

        toimiiko tuolla?

      • djmosse
        korjataan? kirjoitti:

        ajattelin piilottaa kaikki omat tiedostot.
        chmodin manista ajattelin, että se voisi mennä:
        chmod -R 700 ~

        toimiiko tuolla?

        parempi tapa chmod 700 /home/HaluttuKansio -R
        Edellyttäen ettei ole apassissa käyttäjien omia sivuja jaossa, koska silloin ne EI toimi!

    • tuo asia

      kai sen gdeskletsin developereille voi tosta mailia heittää?

      • Pärsereikä

        Joo, mä pistin Martin-nimiselle kaverille postia sinne kehitystiimiin, tällaisen (suokaa anteeksi kielioppivirheet, olen parempi ymmärtämään kuin kirjoittamaan mutta kai tosta tajuaa);

        >>Hi! gDesklets is very nice on my gnome desktop! Anyway, I found some
        kind of a security risk in an applet. I'm using Ubuntu Dapper 6.06 and
        in that distro many files/directories in users homedirectories can be
        read by everybody as default.
        I was logged as "guest" in my computer and browsing my primary home
        directory. I,m using gDesklets SideCandy Popmail 0.1.3 by Valkyr on my
        desktop and suddenly I noticed that I can read my mailaccounts username
        and password as different user (as "guest") in
        directory /home/'myname'/.gdesklets/registry/config0xxxxxxxx.db
        Maybe directory .gdesklets should be something like drw------- by
        default?

    • Pärsereikä

      Eli jos et vielä ole ajanut komentoa "sudo chmod -R 700 ~" niin nyt olisi jo korkea aika tehdä se, löysin nimittäin toisen samanlaisen ohjelman ja varmaan niitä on lisääkin sellaisia jotka tallentavat tunnuksia/salasanoja kryptaamattomina.

      GKrellM tekee myös vastaavan tiedoston jos käyttää sähköpostin laskijaa.

      • Frum frum

        On käyttäjä itse nyt tässä tapauksessa.
        Se on fakta, että ne passut tallennetaan useimmissa ohjelmissa plain textinä johonki filuun.

        Se, että käyttäjä ei osaa modata omaa kotihakemistoansa siten, että sinne ei ole ulkopuolisilla asiaa onkin sitten jo oma moka!!

        chmod 711 /home
        chmod 711 /home/tunnus
        chown -R tunnus:ryhma /home/tunnus

        niin se tiedostojen vakiolu loppuu siihen paikkaan... ja toimii apassit ja muut..

      • ihme juttu
      • Pärsereikä
        Frum frum kirjoitti:

        On käyttäjä itse nyt tässä tapauksessa.
        Se on fakta, että ne passut tallennetaan useimmissa ohjelmissa plain textinä johonki filuun.

        Se, että käyttäjä ei osaa modata omaa kotihakemistoansa siten, että sinne ei ole ulkopuolisilla asiaa onkin sitten jo oma moka!!

        chmod 711 /home
        chmod 711 /home/tunnus
        chown -R tunnus:ryhma /home/tunnus

        niin se tiedostojen vakiolu loppuu siihen paikkaan... ja toimii apassit ja muut..

        >>On käyttäjä itse nyt tässä tapauksessa.

        Aivan, tosin entisissä distroissa oli muistaakseni aina niin että userit eivät päässeet toistensa tileille ja koska olen koneeni ainut käyttäjä ja hyvin suojattu niin en oikeastaan alkuun kiinnittänyt huomiota tuohon että defaultina OOB Ubuntussa userit pystyvät sorkkimaan toistensa tiedostoja.

        >>Se on fakta, että ne passut tallennetaan useimmissa ohjelmissa plain textinä johonki filuun.

        Juu, eikös se ole juuri suurin syy miksi käyttäjät pystyvät linuxia konffailemaan, plain textiin kun on helppo tehdä muutoksia.

        Olenhan mä jo chmodannut ihan varmuuden vuoksi mutta ajattelin että muitakin on hyvä huomauttaa asiasta. Sitä mä en vain tajua että jos tuollaista tietoa tallennetaan plain textinä niin miksei sitä koodata valmiiksi siten että oikeudet ovat sopivat eli privaatit? En kyllä tunne linuxin ohjelmointia mutta eikös ne argumentit pistetä koodausvaiheessa siihen tiedostoon?

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Saisinpa halata sinua joka päivä

      ja kertoa miten paljon sinusta välitän. Vaikka olisi jommalla kummalla huono päivä, väsynyt päivä tai kiireinen päivä, a
      Ikävä
      73
      8642

    2. Me työeläkeläiset äänestämme SDP:tä

      SDP on luonut koko työeläkejärjestelmän, jonka hedelmistä saamme nyt nauttia. Kansaneläkelaitos on Maalaisliiton tekele,
      Maailman menoa
      136
      4797

    3. Kolmen tuiki tavallisen demariahdistelijan nimet julki

      Nyt tiedetään ketkä kolme oli niissä niin tavanomaisissa demarin jokapäiväisissä askareissa avustajia ahdistelemassa. K
      Maailman menoa
      112
      3886

    4. Eikö tunnukin kamalalta, kun en

      anna periksi vaikka parhaasi olet tehnyt antaaksesi täystyrmäyksen? Ja kyllähän minä monta iskua olen saanut ja maannut
      Ikävä
      79
      3462

    5. Sannahan laski sähkön ALV:n 10 prosenttiin, Riikka runnoi 25,5 %:iin

      Tässäkin nähdään kumpi on Suomen kansan puolella, ja kumpi omaa vastaan. Putinistipersuille Suomen kansa tulee aina vii
      Maailman menoa
      74
      3016

    6. Kansalaispalkka ja maksuton joukkoliikenne

      Noilla pienillä parannuksilla saadaan Suomesta taas hitusen parempi paikka peruskansalaiselle, joka elää ekologisesti ja
      Maailman menoa
      151
      2760

    7. SDP on selvästi paras valinta äänestyskopissa

      Puolueella on arvomaailma kohdallaan, sillä on hyvä CV itsenäisen Suomen historiassa vastuunkantajana ja hyvinvointivalt
      Maailman menoa
      21
      2482

    8. SDP:n selitykset ontuu pahasti - "On käsitelty heti, mutta kukaan ei tiedä"

      Kokoomuslaiset pistää taas demareita nippuun. Tuppuraisen mukaan mukaan SDP:n useat ahdistelutapaukset on käsitelty het
      Maailman menoa
      39
      2177

    9. Kenen juontajan pitäisi voittaa tänään Kultainen Venla? Ehdolla Pimiä, Holma ja Vaaherkumpu

      Kultainen Venla gaalassa jaetaan tänään tv-alan palkintoja. Yksi suosituimmista kategorioista on Juontaja. Vappu Pimiä
      Suomalaiset julkkikset
      56
      1998

    10. Antti Lindtman: "Ainahan kaikenlaisia huhuja liikkuu"

      Näin hän siis vastaa SDP:n häirintäkohuun, väistelee vastuutaan Juttuhan on niin, että Lindtman ja Tuppurainen on tasan
      Maailman menoa
      63
      1993
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt