|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75173
|
Link alla notizia: http://www.hwupgrade.it/news/sicurezza/22311.html
La versione Linux del noto client Skype legge il contenuto di alcuni file presenti in /etc Click sul link per visualizzare la notizia. |
![]() |
![]() |
![]() |
#2 |
Member
Iscritto dal: Mar 2005
Città: Ferrara
Messaggi: 256
|
Apperò... programma goloso!!!
Ma riguarda solo la versione riportata nella news o anche quelle precedenti? Sennò lo disinstallo immediatamente tanto non lo uso ![]() |
![]() |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Mar 2005
Città: frankfurt am main
Messaggi: 942
|
commento di parte
questo e' solo uno dei tanti motivi per i quali open source = meglio
![]() nello specifico poi ho una particolare repulsione per skype, cos'ha in piu' dei protocolli voip STANDARD? hype, marketing, notorieta' ![]() |
![]() |
![]() |
![]() |
#4 |
Senior Member
Iscritto dal: Jul 2006
Messaggi: 1175
|
Effettivamente ho provato con systrace ed e' cosi', risulta un accesso fsread verso /etc/passwd e a tutti i files contenuti nel proprio profilo di mozilla firefox, plugins installati, ecc.
Non riesco ad accedere al link suggerito dalla redazione (il proxy mi blocca), ma vi posso dire che senza leggere /etc/passwd Skype non riesce ad effettuare il login, mentre tutto pare funzionare bene se si blocca l'accesso alla cartella di mozilla. E' anche vero che /etc/passwd viene letto da una miriade di programmi, quindi questo puo' anche essere necessario per controllare permessi di scrittura su disco, ecc. Resta inaccettabile il controllo sul profilo di Firefox. Purtroppo non ho ancora avuto modo di fare dei test piu' approfonditi, certo che il fatto che le connessioni siano cifrate (provate con uno sniffer e non capirete niente), che il protocollo sia proprietario e non divulgato... non sono premesse molto positive. |
![]() |
![]() |
![]() |
#5 |
Senior Member
Iscritto dal: Jan 2003
Messaggi: 3680
|
FUD :
Le password non stanno più in /etc/pwd da secoli, e nemmeno in /etc/passwd, si sono ormai mosse in /etc/shadow su tutte le distro più note o recenti.... Tra parentesi se non vi fidate di me fate pure un: #cat /etc/passwd |
![]() |
![]() |
![]() |
#6 |
Senior Member
Iscritto dal: Sep 2005
Città: Roma
Messaggi: 1609
|
Prima di scrivere qualsivoglia post, vi consiglio di leggervi sia il thread che i commenti su slashdot. Ci sono diverse spiegazioni plausibili di quel comportamento.
![]() |
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Feb 2005
Città: Roma
Messaggi: 4418
|
sarebbe semplicemente il risultato del closed-source.
Cmq non creiamo allarmismi. C'è da dire che non c'è assolutamente nessuna password dentro /etc/passwd e che per firefox c'è una specie di barra, *potrebbe* controllare qualcosa in merito (se è aggiornata ecc). Non fasciamoci la testa prima del previsto. Sia chiaro, non giustifico skype e non mi meraviglierei affatto skype si faccia i cavoli nostri! Usiamo software open-source!! |
![]() |
![]() |
![]() |
#8 |
Senior Member
Iscritto dal: Jan 2006
Città: Pisa
Messaggi: 2454
|
Apt-get remove --purge skype
![]()
__________________
![]() |
![]() |
![]() |
![]() |
#9 |
Senior Member
Iscritto dal: Jul 2006
Messaggi: 1175
|
Si' OK, la chiamata che ho notato e' stata fatta verso /etc/passwd, quindi verso i nomi utente [redazione, il file non e' '/etc/pwd'], mentre /etc/shadow non viene letto, cosa che comunque sarebbe impossibile a meno di lanciare Skype da root.
__________________
Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi ![]() |
![]() |
![]() |
![]() |
#10 |
Senior Member
Iscritto dal: Mar 2004
Messaggi: 16053
|
L'accesso al profilo di Mozilla Firefox è sicuramente voluto dai programmatori di Skype; per quanto riguarda l'accesso al file /etc/passwd c'è da dire che non esistono password in quel file ed oltretutto esistono anche delle funzioni di libreria (glibc, non una libreria a caso) che fanno accesso a quel file, e non solo a quello. Gli accessi di Skype potrebbero essere il risultato della chiamata a quelle funzioni.
![]() |
![]() |
![]() |
![]() |
#11 |
Senior Member
Iscritto dal: May 2006
Città: Verona
Messaggi: 1383
|
Non mi esprimo su questo fatto perché non mi ritengo abbastanza esperto, ma abbastanza per dire che la versione di Skype per Linux è scandalosamente vecchia vecchia vecchia
![]() Usare SIP è la soluzione migliore, ma purtroppo per chiamare Skype c'è solo Skype. Già usare un software chiuso dà fastidio a molti utenti Linux, se poi dobbiamo anche usare un programma che su Linux è a 1.4 da millenni mentre su Win siamo alla 3.5 continuamente aggiornata ![]() ![]() Bel software multipiattaforma ![]() |
![]() |
![]() |
![]() |
#12 |
Senior Member
Iscritto dal: Jun 2005
Messaggi: 1795
|
l'accesso al profilo di firefox è vergognoso... mentre per /etc/passwd, come già detto da altri, non vedo quale sia il problema... il contenuto del file è Username:x:UserID:GroupID:Info:HomeDirectory:Shell ; le password sono sicure e criptate in /etc/shadow
|
![]() |
![]() |
![]() |
#13 |
Member
Iscritto dal: Jan 2003
Città: Torino-Ivrea-Milano-Pavia
Messaggi: 47
|
Non ci vedo niente di strano.
Tantissimi binari accedono a /etc/passwd.. banalmente per estrarre il valore della home dell'utente. un qualunque binario che cerchi di accedere ad un file ~/ chiede al sistema operativo di accedere al file /etc/passwd per sapere quale e' la home. |
![]() |
![]() |
![]() |
#14 |
Senior Member
Iscritto dal: Jul 2001
Messaggi: 3480
|
Skype sarà il nuovo RealPlayer?
|
![]() |
![]() |
![]() |
#15 |
Senior Member
Iscritto dal: Dec 2004
Messaggi: 556
|
Per la redazione: il file in questione non è /etc/pwd (non più, almeno), ma /etc/passwd. pwd è tutt'altra cosa su Linux.
In secondo luogo, /etc/passwd NON contiene le password, nonostante il nome. Contiene il noome utente, uid e gid, la home directory e la shell di avvio. Immagino che Skype legga tale file per conoscere la home directory e sapere così dove trovare il suo profilo (la directory .Skype). Chiunque conosca Linux si rende conto che non c'è nulla di minaccioso in tutto questo. Quindi mi domando da chi abbiano preso i soldi questi grandi guru Linux che hanno riportato questo comportamento. Dal canto mio uso Skype pur con un certo odio nei suoi confronti. Non vedo l'ora di vedere un plugin di pidgin (al momento in sviluppo) o altro FOSS per gestire Skype. |
![]() |
![]() |
![]() |
#16 |
Member
Iscritto dal: Oct 2005
Messaggi: 65
|
Slashdot sta diventando uno schifo, non voglio dire altro.
|
![]() |
![]() |
![]() |
#17 |
Senior Member
Iscritto dal: May 2006
Città: Verona
Messaggi: 1383
|
|
![]() |
![]() |
![]() |
#18 |
Senior Member
Iscritto dal: May 2001
Messaggi: 12814
|
|
![]() |
![]() |
![]() |
#19 |
Senior Member
Iscritto dal: Sep 2001
Città: quella dei Papi, Viterbo! Nome: Gabriele
Messaggi: 3063
|
Ma linux al contrario di windows non era il sistema operativo tanto osannato per la sicurezza offerta?
![]() ![]() ![]() |
![]() |
![]() |
![]() |
#20 |
Member
Iscritto dal: Mar 2005
Città: Ferrara
Messaggi: 256
|
Ma con Windows ti accorgi di quello che i programmi vanno a cercare?
|
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 01:04.