GNOME Seahorse Keyring โชว์ password โดยไม่เรียกใส่รหัส… เอาอีกแล้วมั้ยละ

Seahorse เป็น defautl application ที่ใช้เก็บ Password หรือ Keyring ใน GNOME (Applications > Accessories > Password and Encryption Keys) หน้าที่ของมันคือจัดเก็บ passwords ของเราไว้เป็นแหล่งเดียว ไม่ว่าจะเป็นรหัส WEP/WPA, MSN ของ Empathy เป็นต้น เราจะได้ไม่ต้องคอยจำให้วุ่นวาย แค่ตั้ง Seahorse password อันเดียวเท่านั้น

ปัญหามันอยู่ที่ทุกคนที่นั่งอยู่หน้าเครื่องของคุณสามารถจะเรียกดู Password ที่เก็บอยู่ใน keyring นี้ได้โดยไม่ต้องใส่ password อะไรเลย! เพียงแค่เปิด Seahorse ขึ้นมา แล้วคลิกรูปสามเหลี่ยมเล็กๆ ข้างหน้า default keyring (ตามภาพ ผมตั้ง default keyring ชื่อว่า “general” แต่ถ้าเป็นของปกติจะอยู่ใน keyring “login“)

หลังจากนั้น ก็จะเห็นรายชื่อ password ทั้งหมดที่เก็บไว้ ลองดับเบิ้ลคลิกเลือกอันที่เก็บรหัส WEP/WPA หรือ MSN ดู จะมีหน้าต่างใหม่เด้งขึ้นมา ในหน้าต่างนี้ให้คลิกตรงคำว่า “Password” แล้วติ๊กเลือกตรงช่อง “Show password” (ถ้ามีหน้าต่างถามว่าจะ Deny หรือ Allow ก็คลิก Allow) เพียงเท่านี้ รหัสนั้นก็จะแสดงหราอยู่ในรูปของ Palin text แล้ว ใครอยากได้รหัสของคุณไปใช้ ก็ทำได้เลย สะดวกดีจริงๆ

ผมคิด และภาวนา ว่าเรื่องนี้คงเป็น bug ที่น่าจะได้รับการแก้ไขในที่สุด สำหรับตอนนี้ก็ “ตัวใครตัวมัน” ระวังตัวกันเองแล้วกัน

ที่มา http://www.omgubuntu.co.uk/2009/10/security-issue-in-gnome-lets-anyone-see.html

รู้สึกมั้ยว่าเรื่องแบบนี้มันคุ้นๆ คนที่อ่านบล็อกนี้มาไม่ต่ำกว่า 1 เดือนคงจะได้อ่านเรื่องการเก็บพาสเวิร์ดของ Pidgin แล้ว เจอเรื่องแบบนี้อีกครั้ง ผมชักจะคล้อยตามกับแนวทางการเก็บ password เป็น plain text ของ Pidgin ซะแล้ว อย่างน้อยผู้ใช้ก็จะได้รู้และระมัดระวังตัวเอาไว้ ดีกว่า “หลอก” ผู้ใช้ให้เกิดความเชื่อแบบผิดๆ

เฮ้อ! ขอจบแบบเซ็งๆ