Pidgin เก็บพาสเวิร์ดเป็น plain text…เฮ้ย จริงดิ!
Wednesday 30 September 2009 3 Comments
Pidgin ซึ่งเป็น Instant messaging client ที่ติดตั้งมากับ Linux Distro หลายตัวๆ มีฟีเจอร์อยู่อันหนึ่งที่ช่วยเพิ่มความสะดวกสบายให้ผู้ใช้ นั่นคือ Pidgin จะช่วยจำพาสเวิร์ดของเราให้ ไม่ต้องมานั่งกรอกทุกครั้ง
แต่ที่ผมเพิ่งรู้วันนี้ก็คือ Pidgin ใช้วิธีเก็บพาสเวิร์ดแบบขัดใจหลัก security อย่างไม่น่าเชื่อ ซึ่งก็คือ มันเก็บเป็น plain text ซะโต้งๆอย่างนั้นเลย ไม่มีการ encrypt ใดๆ ทั้งสิ้น
ถ้าตอนนี้ใครใช้ Pidgin อยู่ (ไม่ว่าจะเป็น Windows หรือ Linux) และใช้ฟีเจอร์จำพาสเวิร์ดของ Pidgin ให้ลองเปิดไฟล์ accounts.xml ดู (จะเปิดกับ text editor หรือ web browser ก็ได้) สำหรับ Ubuntu ไฟล์นี้จะอยู่ที่ /$HOME/.purple/ (สังเกตว่าชื่อโฟลเดอร์มีจุด . นำหน้า แสดงว่าเป็นไฟล์ซ่อน ใน Nautilus ต้องกด Ctrl+H ก่อนจึงจะเห็นได้)
เปิด accounts.xml แล้วให้ลองมองหาบรรทัดที่มีชื่ออีเมล์เราดู ข้างใต้บรรทัดนั้นจะมีบรรทัดที่เป็น <password>…….</password> ก็จะเห็นพาสเวิร์ดอีเมล์ของเราแสดงหราท้าทายสายตาทันที
ภาพนี้มาจากเว็บ unixmen.com นะครับ ไม่ใช่ของผม
ผมเองก็เพิ่งรู้ว่า Pidgin เล่นเก็บพาสเวิร์ดแบบ plain text เอาโต้งๆแบบนี้จากโพสต์ http://www.unixmen.com/linux-tutorials/399-pidgin-store-passwords-in-clear-text-secure-it-now เพราะว่าผมไม่เคยให้ Pidgin มันจำอะไรอยู่แล้ว กลัวคนอื่นแอบมาเล่น msn ของผม แม้ว่าจะเคยเปิดดูไฟล์ accounts.xml หลายครั้ง ก็ไม่เคยสังเกตเห็นเรื่องนี้
ผมตามไปอ่านจากหน้า Wiki ของ Pidgin ก็ได้ความว่า Pidgin developer เองก็รับทราบเรื่องนี้ แต่ก็ตัดสินใจที่จะไม่ encrypt พาสเวิร์ดอยู่ดี
เหตุผลของทาง Pidgin developer ก็ประมาณว่า IM protocol ที่เราใช้อยู่มันก็ไม่ปลอดภัยในตัวของมันอยู่แล้ว ดังนั้นจะ encrypt พาสเวิร์ดใน accounts.xml หรือไม่ ก็ไม่ช่วยอะไร อีกอย่าง ถ้าเก็บเป็น plain text แบบนี้ อย่างน้อยผู้ใช้ก็จะได้รู้และระมัดระวังตัวเอาไว้ ดีกว่า “หลอก” ผู้ใช้ให้เกิดความเชื่อแบบผิดๆ ว่า encrypt พาสเวิร์ดไว้แล้วจะปลอดภัย
Instant messaging is not very secure, and it’s kind of pointless to spend a lot of time adding protections onto the fairly strong file protections of UNIX (our native platform) when the protocols themselves aren’t all that secure.
Having our passwords in plaintext is more secure than obfuscating them precisely because, when a user is not misled by a false sense of security, he is likely to use the software in a more secure manner.
สรุปเป็นอันว่า ทางที่ดีที่สุดในแง่ security สำหรับกรณีนี้ก็คือ ไม่ต้องใช้ฟีเจอร์นี้ซะ ยอมทนแลกความสะดวกสบายนิดหน่อย กรอกพาสเวิร์ดเองทุกครั้งก็สิ้นเรื่อง
ว่างั้นมั้ย?
Akedemo (o-o) 
Motto เดียวกับ Filezilla เลยนี่หว่า!
Secure ไม่ได้ก็ Plaintext แม่งเลย
กรอกทุกครั้งง่ายกว่าเยอะเลยนะ (ว่าเหมือนกันหรือเปล่านะ?)
คือเรื่องนี้ผมอ่านแล้วก็ยังงงๆ กับแนวทางของ Pidgin อยู่ เพราะใน Wiki ก็บอกว่าไม่มีแผนจะทำ Encryption พาสเวิร์ดใน accounts.xml แต่อย่างใดในอนาคตอันใกล้ ในขณะเดียวกันก็บอกว่าเปิดใจยอมรับความเห็นของผู้ใช้ แถมยังแนะว่าถ้าคนไหนซีเรียสเรื่องความปลอดภัย แต่ยังขี้เกียจกรอกพาสเวิร์ดทุกครั้งอยู่ ก็ให้เขียนสคริปต์ง่ายๆไว้ encrypt และ decrypt ไฟล์ accounts.xml เอาเอง (ถ้ามันเป็น “สคริปต์ง่ายๆ” ทำไมถึงไม่ใส่เป็น option มาให้เลยหละ?)
รู้สึกว่า ใน Ubuntuforums จะมีคนแนะนำให้ลง Master-password patch เอาก็ได้ แต่กระทู้มันเขียนตั้งแต่ปี 2007 แล้ว ผมไม่แน่ใจว่าจะใช้กับ Pidgin เวอร์ชันปัจจุบันได้หรือไม่
ป.ล. ส่วนตัวผมเอง ก็ยังคงใช้วิธีกรอกเอาเองทุกครั้ง