GNOME Seahorse Keyring โชว์ password โดยไม่เรียกใส่รหัส… เอาอีกแล้วมั้ยละ


Seahorse เป็น defautl application ที่ใช้เก็บ Password หรือ Keyring ใน GNOME (Applications > Accessories > Password and Encryption Keys) หน้าที่ของมันคือจัดเก็บ passwords ของเราไว้เป็นแหล่งเดียว ไม่ว่าจะเป็นรหัส WEP/WPA, MSN ของ Empathy เป็นต้น เราจะได้ไม่ต้องคอยจำให้วุ่นวาย แค่ตั้ง Seahorse password อันเดียวเท่านั้น

ปัญหามันอยู่ที่ทุกคนที่นั่งอยู่หน้าเครื่องของคุณสามารถจะเรียกดู Password ที่เก็บอยู่ใน keyring นี้ได้โดยไม่ต้องใส่ password อะไรเลย! เพียงแค่เปิด Seahorse ขึ้นมา แล้วคลิกรูปสามเหลี่ยมเล็กๆ ข้างหน้า default keyring (ตามภาพ ผมตั้ง default keyring ชื่อว่า “general” แต่ถ้าเป็นของปกติจะอยู่ใน keyring “login)

หลังจากนั้น ก็จะเห็นรายชื่อ password ทั้งหมดที่เก็บไว้ ลองดับเบิ้ลคลิกเลือกอันที่เก็บรหัส WEP/WPA หรือ MSN ดู จะมีหน้าต่างใหม่เด้งขึ้นมา ในหน้าต่างนี้ให้คลิกตรงคำว่า “Password” แล้วติ๊กเลือกตรงช่อง “Show password” (ถ้ามีหน้าต่างถามว่าจะ Deny หรือ Allow ก็คลิก Allow) เพียงเท่านี้ รหัสนั้นก็จะแสดงหราอยู่ในรูปของ Palin text แล้ว ใครอยากได้รหัสของคุณไปใช้ ก็ทำได้เลย สะดวกดีจริงๆ

ผมคิด และภาวนา ว่าเรื่องนี้คงเป็น bug ที่น่าจะได้รับการแก้ไขในที่สุด สำหรับตอนนี้ก็ “ตัวใครตัวมัน” ระวังตัวกันเองแล้วกัน

ที่มา http://www.omgubuntu.co.uk/2009/10/security-issue-in-gnome-lets-anyone-see.html

รู้สึกมั้ยว่าเรื่องแบบนี้มันคุ้นๆ คนที่อ่านบล็อกนี้มาไม่ต่ำกว่า 1 เดือนคงจะได้อ่านเรื่องการเก็บพาสเวิร์ดของ Pidgin แล้ว เจอเรื่องแบบนี้อีกครั้ง ผมชักจะคล้อยตามกับแนวทางการเก็บ password เป็น plain text ของ Pidgin ซะแล้ว อย่างน้อยผู้ใช้ก็จะได้รู้และระมัดระวังตัวเอาไว้ ดีกว่า “หลอก” ผู้ใช้ให้เกิดความเชื่อแบบผิดๆ

เฮ้อ! ขอจบแบบเซ็งๆ

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: