Skype Linux Reads Password and Firefox Profile
时间:2007-08-28
来源:互联网
Posted by samzenpus on Sunday August 26, @11:40AM
from the to-send-better-ads dept.
Privacy Linux
mrcgran writes "Users of Skype for Linux have just found out that it reads the files /etc/passwd, firefox profile, plugins, addons, etc, and many other unnecessary files in /etc. This fact was originally discovered by using AppArmor, but others have confirmed this fact using strace on versions 1.4.0.94 and 1.4.0.99. What is going on? This probably shows how important it is to use AppArmor in any closed-source application in Linux to restrict any undue access to your files."
http://forum.skype.com/index.php?showtopic=95261
作者: nainaide 发布时间: 2007-08-28
不过很怀疑作者是否是Novell的*手
作者: zhllg 发布时间: 2007-08-28
|
strace -v -i -s 9999 /usr/local/bin/skype 2> skype.log ... [0053e7a2] open("/etc/ passwd", O_RDONLY) = 12 [0053e7a2] fcntl64(12, F_GETFD) = 0 [0053e7a2] fcntl64(12, F_SETFD, FD_CLOEXEC) = 0 [0053e7a2] fstat64(12, {st_dev=makedev(3, 2), st_ino=132772, st_mode=S_IFREG|0644, st_nlink=1, st_uid=0, st_gid=0, st_blksize=4096, st_blocks=8, st_size=1403, st_atime=2007/08/09-23:01:33, st_mtime=2007/07/17-13:17:21, st_ctime=2007/07/17-13:17:21}) = 0 [0053e7a2] mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7341000 [0053e7a2] read(12, "root:x:0:0:root:/root:/bin/bash\nbin:x:1:1: ..... all your content of passwd |
作者: nainaide 发布时间: 2007-08-28
天知道微软在windows里留了多少后门。
|
作者: nainaide
看来,黑客产业真是太可怕了,搞电脑专业的是人并不多,大多数用电脑的人只是用而已,甚至从来都不防范,太可怕了。
|
我们把钱存入银行,每天上下班挤地铁公车,去集市买粮食蔬菜。
大多数人不自己投资,不自己开车,不自己种粮食。根本不知道有多少恶霸黑社会参与在了其中。
作者: zhou3345 发布时间: 2007-08-28
关键还是立法
作者: 三翻领 发布时间: 2007-08-28
----------
btw,我用的是 google strace skype passwd
作者: biinn 发布时间: 2007-08-28
作者: xlwcat 发布时间: 2007-08-28
作者: netjedi 发布时间: 2007-08-28
|
作者: netjedi
好象kernel 2.6还是2.4以后密码都不在/etc/passwd 里面的吧。
|
作者: keelort 发布时间: 2007-08-28
|
作者: biinn
请大家多到网上查查,在skype正是回应之前(我没找skype是不是已经回应了)网上绝大多数人认为读取 /etc/passwd 是正常的。
---------- btw,我用的是 google strace skype passwd |
我很久以前就不再考軟体记密码了。尽管firefox和shadow等等会加密密码,但skype需要澄清它是否有必要看那些档案。我可以相信它有很好的理由。
这不正是闭源码軟体的问题吗?
作者: mathfeel 发布时间: 2007-08-28
感觉 skype 没什么道理诚心搞坏。。
作者: william_xuuu 发布时间: 2007-08-28
现在的默认做法是在/etc/shadow里放加了密的密码
不过可以从/etc/passwd读取系统用户信息
这样再去猜密码,就省了很多事
否则连用户名都要猜
作者: zhllg 发布时间: 2007-08-28
作者: blackwhite 发布时间: 2007-08-29
热门阅读
-
office 2019专业增强版最新2021版激活秘钥/序列号/激活码推荐 附激活工具
阅读:74
-
如何安装mysql8.0
阅读:31
-
Word快速设置标题样式步骤详解
阅读:28
-
20+道必知必会的Vue面试题(附答案解析)
阅读:37
-
HTML如何制作表单
阅读:22
-
百词斩可以改天数吗?当然可以,4个步骤轻松修改天数!
阅读:31
-
ET文件格式和XLS格式文件之间如何转化?
阅读:24
-
react和vue的区别及优缺点是什么
阅读:121
-
支付宝人脸识别如何关闭?
阅读:21
-
腾讯微云怎么修改照片或视频备份路径?
阅读:28
