Como pensé el miércoles, el jueves fue un día bastante aburrido en la oficina. A falta de trabajo, es lo que tiene depender de las contestaciones del cliente, me puse a trastear con el Pidgin y el Finch. Pidgin seguro que sabéis que es, pero para los que no lo sepan, Finch es en cliente de terminal de Pidgin.
Pues bien, me puse a hojear los archivos de configuración de Pidgin “pa’ ver cómo hace las cosas” y cual es mi sorpresa (joder que postiza queda esa frase si no está en un guión cinematográfico o en un libro de detectives) cuando veo que en el archivo accounts.xml están las contraseñas guardadas de mis diferentes cuentas. Si, están prácticamente en texto plano (un *.xml lo puedes abrir con cualquier editor de textos). Incluso en otros archivos como blist.xml están los contactos a los que tengo bloqueados.
Creo que es un fallo de seguridad muy grave, sobre todo el primero, pues cualquiera podría acercarse al ordenador y, si sabe lo que busca, obtener información confidencial. De acuerdo que el problema se puede esquivar si evitamos marcar la casilla de Recordar contraseña, pero no me parece a mi una solución al uso.
No estaba muy seguro si reportarlo como bug o como sugerencia sin más, pues me extrañaba mucho que nadie se haya dado cuenta antes que yo…
Después de bucear por las listas de bugs enviados y sugerencias, vi que la librería principal que utiliza Pidgin libPurple no tiene implementado el cifrado porque consideran que sería fácil su ruptura y estarían dando una falsa sensación de seguridad. Así que recomiendan el uso de alguno de los varios plugins existentes para tal efecto. Recomiendan Kwallet en KDE o CryptoAPI para Windows. Para más información mirar aquí
Bueno, he aqui la solución a un bug que no es 
PD: Me pregunto si esto se puede tomar como guía a la hora de decidir si un bug realmente lo es o no. No tengo excesiva experiencia en este tema (de echo creo que es la primera vez que “detecto” un bug). Así que si alguien lo cree acertado, o tiene un “modus operandi” diferente, por favor nos lo diga.
NoAlWin dijo:
Junio 2, 2008 a 12:16 am
Hombre, lo suyo es que antes de reportarlo hagas una busqueda a ver si alguien lo ha hecho antes e informarte del tema. Ya si puedes localizar el fallo en el código y ver si sigue estando en la rama de desarrollo, pues mejor. Y si lo arreglas y les mandas el .patch ya ni te cuento.
En este caso yo diría que es una sugerencia.
En cuanto a guardarlo en claro o no, yo preferiría que estuviera un poco ofuscado, para que no te pudieran ver el password en un descuido, pero lo cierto es que ofuscarlo simplemente ralentiza (un poco en software libre, algo más en programas de código cerrado) obtener la contraseña.
NoAlWin dijo:
Junio 2, 2008 a 12:17 am
Y seguramente no sea la primera vez que detectas un bug, sino la primera que piensas en reportarlo.
Dagor dijo:
Junio 2, 2008 a 10:21 am
Seguramente si, sea la primera vez que piense en reportar un bug.
No sé si será la primera vez que detecto un bug, pero si no es así, del resto no fui consciente al menos.
En fin… lo que tiene el aburrimiento…
NoAlWin dijo:
Junio 4, 2008 a 1:21 am
La suerte que tienen algunos………
Dagor dijo:
Junio 4, 2008 a 1:41 pm
No creo que deba de considerarlo suerte la verdad, pero en el caso que así lo veas, ya sabes lo que tienes que hacer…
