Сегодня совершенно случайно обнаружил, что Pidgin хранит пароли в открытом виде в файле ~/.purple/accounts.xml. Для меня это было весьма неприятным открытием. На странице PlainTextPasswords разработчики пишут, что они их не шифруют, потому что «it gives users a false sense of security». И с точки зрения, например, трояна, который крадёт пароли, разницы нет никакой: то ли скопировать пароль из accounts.xml напрямую или прочитать из файла ~/.purple/passwords.dat ключ, а затем с его помощью расшифровать пароли в accounts.xml. Но на мой взгляд с шифрование всё же получше ситуация: в таком случае хоть явно не подсмотришь пароли при помощи простого текстового редактора.
В рамках Google Summer Of Code разрабатывается проект Master password support for pidgin который позволит использовать мастер-пароль (возможность не только ввода вручную, но и взаимодействие с Gnome-Keyring, KWallet и подобными программами).
Я всё же предпочёл удалить пароли из Pidgin-а и вбиваю их уже вручную при соединении.
One Comment
Это же вас я нашёл вконтакте — vkontakte.ru/profile.php?id=?14613688 ?