Skype per Linux legge le password

[sirus]

Quote:

Originariamente inviato da k0nt3

perchè ad esempio io non uso IE e se non leggesse le impostazioni da FF non riuscirebbe ad usare il proxy automaticamente

[k0nt3]

Quote:

Originariamente inviato da plagio

Nessuna distribuzione ti obbliga a mettere password. Basta fare "useradd pippo" da root per creare un account pippo senza password

io dicevo in fase di intallazione.. poi se non ci tieni alla tua sicurezza sono fatti tuoi

Quote:

Originariamente inviato da plagio

Li ho letti i commenti su slashdot, infatti intendevo che e' assurdo che un programma di chat/im legga il file passwd. Skype deve spiegare questo comportamento al piu' presto.

perchè? cosa c'è nel file passwd? niente di speciale

[plagio]

Quote:

Originariamente inviato da k0nt3

io dicevo in fase di intallazione.. poi se non ci tieni alla tua sicurezza sono fatti tuoi

perchè? cosa c'è nel file passwd? niente di speciale

Quello che intendevo e' che dal file passwd si puo' capire se esiste un account privo di password. Tutto qua'.

In effetti il file passwd si accede regolarmente per controllare la home degli utenti (come detto giustamente qualche post sopra) e non c'e' probabilmente da insospettirsi se un software lo vada a leggere.

[sirus]

Quote:

Originariamente inviato da plagio

Quello che intendevo e' che dal file passwd si puo' capire se esiste un account privo di password. Tutto qua'.

In effetti il file passwd si accede regolarmente per controllare la home degli utenti (come detto giustamente qualche post sopra) e non c'e' probabilmente da insospettirsi se un software lo vada a leggere.

Anche perché è molto probabile che lo faccia in seguito alla chiamata di funzione delle glibc che hanno funzioni apposite che ritornano informazioni sugli utenti che vengono recuperate in seguito alla lettura di quel file e di altri.

[Cimmo]

Purtroppo oggi Hardware Upgrade ha preso un grande abbaglio e con lui tanti lettori che poi hanno fatto presto a scagliarsi contro Linux tanto per partito preso (poi dicono che lo facciamo noi con MS).

Sono utente Linux e betatester ufficiale di Skype per Linux dalla v1.3
Innanzi tutto skype legge /etc/passwd e non il file scritto sull'articolo e in ogni caso alcune considerazioni:

1) in tutte le distro moderne in QUESTO file non c'e' alcuna password!
2) se fate la stessa prova con altri programmi di IM anche open source accedono al medesimo file, ma di quelli in questo caso non se ne parla mai
3) se skype che gira con privilegi da utente potesse vedere il file delle password che necessita privilegi di root allora linux avrebbe dei grossi problemi, ma cosi' non e', il file e' illeggibile con semplici permessi da utente e comunque le password sono criptate e non in chiaro
4) ci sono chiamate delle librerie QT che leggono tale file in automatico, skype usa le qt, 1+1?
5) se uno fa ls -l dalla console gia' sta leggendo da tale file, ed e' un puro comando di listing di file
6) stiamo parlando di un abbaglio preso da slashdot e purtroppo pero' tutti ci stanno cascando a cascata, possibile che nessuno piu' abbia del senso critico?
7) sono sempre stato un sostenitore dei prodotti open source, son sicuro che Skype non e' la soluzione ideale, pero' funziona bene e mi piace, in questo caso veramente si e' voluti scagliarsi contro gratuitamente e questo non e' giusto

Ora io sto parlando non da betatester ufficiale, chiaro che so gia' la posizione ufficiale di Skype, ma non posso dirla perche' sono sotto NDA, quando uscira' il comunicato ufficiale potro' parlarne.

Per il momento le cose da fare:
1) non credere a tutte le cose che vi propinano
2) se non conoscete andateci con i piedi di piombo, alcuni commenti su Linux che ho letto sono a dir poco dei pregiudizi messi li' su due piedi tanto per fare polemica gratuita, consiglio a tali persone di installarlo e cominciare ad usarlo e poi dopo 1 anno parlarne, prima fanno solo delle figure molto ma molto magre

[IlNiubbo]

A causa dei miei scrausissimi computers sono dovuto passare ad un programma alternativo: wengophone.

Io ho la versione per windows (non ho ancora il coraggio di mettere su linux...) e devo dire che funziona bene e occupa molta meno cpu. Con skipe mi scattavano i giochi, con questo no. Ovvio che si perdono i contatti di skipe. Di sicuro però è possibile collegarsi msn e icq con un po di impostazioni.

Date un okkiata oh espertissimi utenti!

http://www.wengophone.com/index.php/mp_download_wp_lin

[k0nt3]

Quote:

Originariamente inviato da plagio

Quello che intendevo e' che dal file passwd si puo' capire se esiste un account privo di password. Tutto qua'.

scusa ma come si farebbe a capirlo?
poi in effetti c'è una maniera più semplice per scoprire se la password è vuota... provarla

[Cimmo]

Quote:

Originariamente inviato da gabriweb

Ma linux al contrario di windows non era il sistema operativo tanto osannato per la sicurezza offerta?

infatti nessuno legge alcuna password, HWUP ha preso un pesce da aprile in ritardo e tutti dietro come pecoroni

[plagio]

Quote:

Originariamente inviato da k0nt3

scusa ma come si farebbe a capirlo?
poi in effetti c'è una maniera più semplice per scoprire se la password è vuota... provarla

Secondo campo. Dopo la username, se c'è un asterisco l'utente non ha password (oppure ha una password non valida).

[k0nt3]

Quote:

Originariamente inviato da plagio

Secondo campo. Dopo la username, se c'è un asterisco l'utente non ha password (oppure ha una password non valida).

io ho "x" su tutti gli utenti, cioè sta tutto scritto nel file shadow (anche per gli utenti senza password il campo è vuoto, mentre c'è l'asterisco se l'utente è disabilitato)

[plagio]

Quote:

Originariamente inviato da k0nt3

io ho "x" su tutti gli utenti, cioè sta tutto scritto nel file shadow (anche per gli utenti senza password c'è un ! nel file shadow)

Infatti il punto esclamativo nell'/etc/shadow vuol dire che l'utenza non ha password.
Per ricapitolare :
Utente senza password, asterisco in /etc/passwd e punto esclamativo in shadow.
Utente con password, x in /etc/passwd e password criptata in shadow.

Facile no ?

EDIT, non avevo letto bene, hai una x anche per gli utenti senza password in /etc/passwd ed un punto esclamativo in shadow. Ok, allora mi sbagliavo e pure di grosso.

[k0nt3]

Quote:

Originariamente inviato da plagio

Infatti il punto esclamativo nell'/etc/shadow vuol dire che l'utenza non ha password.
Per ricapitolare :
Utente senza password, asterisco in /etc/passwd e punto esclamativo in shadow.
Utente con password, x in /etc/passwd e password criptata in shadow.

Facile no ?

EDIT, non avevo letto bene, hai una x anche per gli utenti senza password in /etc/passwd. Ok, allora mi sbagliavo e pure di grosso.

si anche io mi ero sbagliato sull'interpretazione del ! in shadow.. a quanto pare è equivalente al * (o almeno io non so la differenza) cioè utente disabilitato
!! o campo vuoto in shadow significa che non c'è la password
comunque sia io ho x dappertutto in passwd sarebbe utile sapere se lo fanno tutte le distro

[tyrellcorp]

mi aggiungo al pianto di tutti (conscio del fatto che /etc/passwd non contiente alcuna password) aggiungndo :
ma quelli di skype che se ne fanno delle mie passowrd ?

[Jon_Snow]

IL problema non è /etc/password, ma i profili di firefox! Perché dovrebbe accedere ad essi?? perfino ai plugin, cose da matti....

[Cimmo]

Quote:

Originariamente inviato da Jon_Snow

IL problema non è /etc/password, ma i profili di firefox! Perché dovrebbe accedere ad essi?? perfino ai plugin, cose da matti....

ripeto:
state parlando di cose che non sapete e date per scontato che quello che hanno scritto e' vero...

[jimjams]

Ma possibile che se quattro niubbi in un forum cominciano a sparare stupidate si scateni una cosa del genere?

Tutto è nato da un utente che utilizzando apparmor si è accordo che Skype accedeva a passwd e ai file di firefox.

L'accesso a passwd è perfettamente lecito ed è USO COMUNE della stragrande maggioranza dei programmi. Chiuso, non state a farvi seghe mentali.

L'accesso ai file di firefox sicuramente è utilizzato per ricercare la presenza dei plugin di skype e di configurazioni. Anche in questo caso sono dozzine i programmi che lo fanno. E anche in questo caso i dati sensibili di firefox sono crittati.

Questa storia è una bufala, serve solo a fare un titolo. E' in piedi da giorni e giorni sul forum skype.

Se proprio volete preoccuparvi chiedetevi cosa fa Skype SULLA VOSTRA LINEA. Sul quel fronte davvero ci sarebbe da preoccuparsi, visto che fino ad oggi nessuno (che io sappia) è riuscito a decifrare completamente quello che il programma fa.

Usando skype si mette sul PC un software con un protocollo completamente oscuro, crittato, soggetto a protezioni anti-debug, protezioni anti-tampering, una scatola nera che potrebbe fare quello che vuole...

Vi state agitando per il sugo che brucia e c'è la casa in fiamme....

[budspanzer]

Per quelli che dicono: VOI LINUXIANI
certo che ci spaventiamo! Se poi un virus dovesse arrivare a Linux, Capperi! Che sfaiga! Anche se non è come su win, tempo 3 minuti e spargi veleno via mail.
E io di win ne ho 7 in ufficio.
Per quelli che dicono: LE PASSWORD! OH NOO!
Mi pare di leggere che si tratta di una lettura sui dati dei plug in di firefox. Non credo sia così grave al momento. Comunque, speriamo in un plugin per wengo o altri client.
Ciao

[jimjams]

provate pure voi con strace

pidgin
konqueror
opera

accedono tutti a passwd, come il 99% dei programmi linux che facciano qualcosa di concreto...

[indio68]

ma fatemi capire ...perchè i programmi open source non fanno di queste cose??
per capire , mai usato Linux (non mi serve)

[Jon_Snow]

Ok ecco spiegato l'arcano, non sapevo dell'esistenza di un plugin ufficiale per firefox, ergo la solita bufala.

Comunque il mio pensiero su Skype non cambia di certo.