Löysin vahingossa pienen turva-aukon tonkiessani tiedostoja tosin tämä on todella helppo korjata;
En muista toisista distroista mutta Ubuntu antaa lukuoikeudet useimpiin /home alla oleviin käyttäjäkansioihin. Jos käytössä on gdeskletin sähköposti-apletti Sidecandy Popmail niin käyttäjän sähköpostipalvelimen tunnukset ja salasanat ovat selväkielisinä luettavissa /home/'user'/.gdesklets/registry/configxxxxxxxx.db
eli heti tekemään omat tiedostot yksityisiksi ellei halua kaverin koplaavan sun sähköposteja.
Asiasta viidenteen, poistin gdesklets tray-ikonin enkä löydä asetusta millä sen saa takaisin. /usr/lin/gdesklets/config/settings.py Tray-icon = true mutta ilmeisesti oikea arvo on jossakin kotihakemistossa, tietäisikö joku nopeasti mistä se löytyy ettei tar kaikkea plärätä?
Gdesklets turvariski Ubuntussa!
10
725
Vastaukset
- huviksesi
lukea se tiedosto toisena käyttäjänä, jossa tunnukset on..
- Pärsereikä
No niin mä kokeilinkin, kirjauduin toisena käyttäjänä jolle olen antanut mahd. vähän oikeuksia (eräänlainen vieras-tili) ja lueskelin sieltä omat tunnukseni hemmetti vieköön. Onnistuu!
- korjataan?
Pärsereikä kirjoitti:
No niin mä kokeilinkin, kirjauduin toisena käyttäjänä jolle olen antanut mahd. vähän oikeuksia (eräänlainen vieras-tili) ja lueskelin sieltä omat tunnukseni hemmetti vieköön. Onnistuu!
ajattelin piilottaa kaikki omat tiedostot.
chmodin manista ajattelin, että se voisi mennä:
chmod -R 700 ~
toimiiko tuolla? korjataan? kirjoitti:
ajattelin piilottaa kaikki omat tiedostot.
chmodin manista ajattelin, että se voisi mennä:
chmod -R 700 ~
toimiiko tuolla?parempi tapa chmod 700 /home/HaluttuKansio -R
Edellyttäen ettei ole apassissa käyttäjien omia sivuja jaossa, koska silloin ne EI toimi!
- tuo asia
kai sen gdeskletsin developereille voi tosta mailia heittää?
- Pärsereikä
Joo, mä pistin Martin-nimiselle kaverille postia sinne kehitystiimiin, tällaisen (suokaa anteeksi kielioppivirheet, olen parempi ymmärtämään kuin kirjoittamaan mutta kai tosta tajuaa);
>>Hi! gDesklets is very nice on my gnome desktop! Anyway, I found some
kind of a security risk in an applet. I'm using Ubuntu Dapper 6.06 and
in that distro many files/directories in users homedirectories can be
read by everybody as default.
I was logged as "guest" in my computer and browsing my primary home
directory. I,m using gDesklets SideCandy Popmail 0.1.3 by Valkyr on my
desktop and suddenly I noticed that I can read my mailaccounts username
and password as different user (as "guest") in
directory /home/'myname'/.gdesklets/registry/config0xxxxxxxx.db
Maybe directory .gdesklets should be something like drw------- by
default?
- Pärsereikä
Eli jos et vielä ole ajanut komentoa "sudo chmod -R 700 ~" niin nyt olisi jo korkea aika tehdä se, löysin nimittäin toisen samanlaisen ohjelman ja varmaan niitä on lisääkin sellaisia jotka tallentavat tunnuksia/salasanoja kryptaamattomina.
GKrellM tekee myös vastaavan tiedoston jos käyttää sähköpostin laskijaa.- Frum frum
On käyttäjä itse nyt tässä tapauksessa.
Se on fakta, että ne passut tallennetaan useimmissa ohjelmissa plain textinä johonki filuun.
Se, että käyttäjä ei osaa modata omaa kotihakemistoansa siten, että sinne ei ole ulkopuolisilla asiaa onkin sitten jo oma moka!!
chmod 711 /home
chmod 711 /home/tunnus
chown -R tunnus:ryhma /home/tunnus
niin se tiedostojen vakiolu loppuu siihen paikkaan... ja toimii apassit ja muut.. - ihme juttu
onko tuo Gnome keyring liian keskeneräinen projekti vai käytetäänkö sitä missään? Toiminta on siis vastaava kuin OS X:n keychainissa.
http://en.wikipedia.org/wiki/GNOME_Keyring - Pärsereikä
Frum frum kirjoitti:
On käyttäjä itse nyt tässä tapauksessa.
Se on fakta, että ne passut tallennetaan useimmissa ohjelmissa plain textinä johonki filuun.
Se, että käyttäjä ei osaa modata omaa kotihakemistoansa siten, että sinne ei ole ulkopuolisilla asiaa onkin sitten jo oma moka!!
chmod 711 /home
chmod 711 /home/tunnus
chown -R tunnus:ryhma /home/tunnus
niin se tiedostojen vakiolu loppuu siihen paikkaan... ja toimii apassit ja muut..>>On käyttäjä itse nyt tässä tapauksessa.
Aivan, tosin entisissä distroissa oli muistaakseni aina niin että userit eivät päässeet toistensa tileille ja koska olen koneeni ainut käyttäjä ja hyvin suojattu niin en oikeastaan alkuun kiinnittänyt huomiota tuohon että defaultina OOB Ubuntussa userit pystyvät sorkkimaan toistensa tiedostoja.
>>Se on fakta, että ne passut tallennetaan useimmissa ohjelmissa plain textinä johonki filuun.
Juu, eikös se ole juuri suurin syy miksi käyttäjät pystyvät linuxia konffailemaan, plain textiin kun on helppo tehdä muutoksia.
Olenhan mä jo chmodannut ihan varmuuden vuoksi mutta ajattelin että muitakin on hyvä huomauttaa asiasta. Sitä mä en vain tajua että jos tuollaista tietoa tallennetaan plain textinä niin miksei sitä koodata valmiiksi siten että oikeudet ovat sopivat eli privaatit? En kyllä tunne linuxin ohjelmointia mutta eikös ne argumentit pistetä koodausvaiheessa siihen tiedostoon?
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
No nytkö tuli lähtö Orpolle?
Pieniä oli Marinin aamupalasilakat joulukaloiksi vrt. Orpon 35 miljoonan euron kähmintä johonkin Vapaavuoren urheiluhall2331789- 1861591
Kauhavan häiriköijistä
Juttua Iltalehdessä. Pakko sanoa että noi nuoret on kyllä ihan pimeitä. Putkin peltoja jupksevat kiusaamaan kun ei tietä451192Haluan sinut, kuuletko minua.
Haluan sinut. Toivon, että voisimme olla yhdessä. Mietin pystynkö täyttämään toiveesi, olemaan arvoisesi. Voisitko saad49917- 14750
Miksi Lapset kiusaa yöllä
Miksi Lapset kiusaa yöllä ihmisiä? Miksi vanhemmat antaa tämän tapahtua? Eikö ne huomaa ettei lapset ole kotona vai eivä30741Sama ransetti taas!
Keikkui tällä kertaa Honkavaaran tien varressa muutaman sadan metrin päässä Louhenkoskelta.. Otin rekisterin ylös ja ver21730- 37715
Viimeinen lankafest
Käykää viimeisessä lanka festissä. Ensivuonna sitä ei enää ole. Rahat on loppu. Harmi .23692Tehdäänkö tänään toiveista totta?
Poikkea tänä illasta siinä lähellä ja annetaan silmien puhua ja sen jälkeen puhu sinä lopulta mitä ajattelet..46627