今天早上我从电脑里删除了 Pidgin,主要原因就是因为存在较大的安全问题。因为 Pidgin 默认采用的保存密码方式在我眼中略有不妥,因为你如果在 Pidgin 里选择“保存密码”,那么密码就会以明文形式静静躺在 Windows 环境下储存帐户信息的文件 accounts.xml 里。这个文件就放在系统分区的用户帐户文件夹里。如果有人打开这个文件,无需任何辅助软件,一眼便可以看见其中的帐户名与密码信息。
对于这个问题,Pidgin 团队也在他们的 Wiki 里做出了解释。
使用 Pidgin 的同学们请注意了,如果你的电脑要借给不熟悉的人使用,请先考虑一下数据和个人帐号安全问题吧。如果想避免这种尴尬的问题,请更改 Pidgin 的帐号设置,禁用“保存密码”复选框。
不过话说回来,IM 软件之间的传输目前还存在着明文内容,具有一定的隐私与安全问题。Pidgin-Encrypt 就是一款可以给 Pidgin 中使用的主流聊天协议加密传输的插件,它支持很多操作系统平台。在 Ubuntu Linux 中,可以在新立得软件包里找到,也使用以下命令快速安装:
对于这个问题,Pidgin 团队也在他们的 Wiki 里做出了解释。
Purple does not now and is not likely to encrypt the passwords in the accounts.xml file, nor is it likely to be encrypted in a future release. This is somewhat controversial in Windows, especially Windows 98 due to its weak file protections, but that’s the way things are.对于将密码明文存储在系统分区来说,我更倾向于使用现存的不安全加密法对密码进行一些加密,至少对于人脑来说直接看懂加密过的密码并非易事。当然,骇客帝国里面那些怪人除外。
The reasoning for this is multi-part.
Instant messaging is not very secure, and it’s kind of pointless to spend a lot of time adding protections onto the fairly strong file protections of UNIX (our native platform) when the protocols themselves aren’t all that secure. The way to truly know who you are talking to is to use an encryption plugin on both ends (such as OTR or gaim-encryption), and use verified GPG keys. Secondly, you shouldn’t be using your instant messaging password for anything else. While some protocols have decent password security, others are insufficient and some (like IRC) don’t have any at all.
使用 Pidgin 的同学们请注意了,如果你的电脑要借给不熟悉的人使用,请先考虑一下数据和个人帐号安全问题吧。如果想避免这种尴尬的问题,请更改 Pidgin 的帐号设置,禁用“保存密码”复选框。
不过话说回来,IM 软件之间的传输目前还存在着明文内容,具有一定的隐私与安全问题。Pidgin-Encrypt 就是一款可以给 Pidgin 中使用的主流聊天协议加密传输的插件,它支持很多操作系统平台。在 Ubuntu Linux 中,可以在新立得软件包里找到,也使用以下命令快速安装:
sudo apt-get install pidgin-encryption
另外,对于聊天软件自身承诺的“聊天过程中使用加密传送”也不要过于轻信,所以绝大多数聊天软件都会在显著位置提醒用户绝对不要通过聊天软件传送银行帐号及各种密码信息。
没有评论:
发表评论
请勿张贴商业广告。评论可能需要审核。
No advertisement. Comment review enabled.