BULMA

Seguridad de los passwords en el fichero de configuración del Kmail

Los del Kmail se lo podrian haber currado un poco más… a mi es que estas cosas me preocupan, no puedo evitarlo 😛


Estaba a punto de borrar esta chorrada de script que ya pasé por la lista de correo, pero se me ocurrió que podria estar bién dejarlo por aquí para la posteridad 😉

Lo hice para el Kmail del KDE1, pero acabo de probarlo con el Kmail del KDE2 y es evidente que con unos pocos cambios (que dejo como “ejercicio para el lector” 🙂 también funciona.

Básicamente, este script desencripta (por decirlo de alguna manera) los passwords guardados en el fichero de configuración del Kmail. Para que sea facil probarlo con la cuenta propia (lo unico que recomiendo como autor del script), coge el fichero de configuración de su ubicación por defecto. El script también acepta como parámetro el path de un fichero de configuración del Kmail por si el usuario desea descifrar los passwords de algún otro fichero que no se encuentre en la ubicación estándar.

Eso es todo, ahí lo teneis:

#!/usr/bin/perl -w
$kmailrc=($ARGV[0])?($ARGV[0]):
(“$ENV{‘HOME’}/.kde/share/config/kmailrc”);
open (K, $kmailrc)
or die “cannot open $kmailrc: $!”;
while () {
if(s/\Apasswd=(.*)/$1/g) {
s/(.)/chr((ord($1)-0x20)^0xff)/ge;
print;
}
}
close (K)
or die “cannot close $kmailrc: $!”;

Problema: Una vez conseguidos los ficheros de configuración del Kmail, algo que no deberia ser trivial si vuestro sistema está bién administrado, está demostrado que si es trivial extraer de ahí los passwords.

Workaround (solución temporal): Recomiendo enérgicamente que no seleccioneis la opción del Kmail que hace que los passwords se graben en el fichero de configuración. Es un coñazo porque hay que meterlos a mano cada vez, pero es seguro.

Solución: Evidentemente, que los del Kmail dejen de jugar a Mortadelo y Filemón y programen una solución segura.

Alternativa: Usar otro cliente de correo más seguro que el Kmail, por lo menos hasta que lo arreglen. Por cierto, sabeis que el Kmail se integra bastante bién con el PGP y el GnuPG? La verdad es que después de ver como cifran los passwords, la idea de permitir que el Kmail gestione la passphrase de mi clave secreta en su caché “para que no tenga que introducirla más que una vez por sesión” me da escalofrios. Habria que ver lo que pasa cuando hace un ‘core’ 😛

Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=409 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.

Beowulf

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.