View previous topic :: View next topic |
Author |
Message |
jordan83 Apprentice
Joined: 17 Apr 2006 Posts: 222 Location: check your closet...
|
Posted: Tue Aug 28, 2007 12:04 pm Post subject: |
|
|
Cazzantonio wrote: |
Ma no! State facendo una tragedia su una cosa assolutamente normale!
|
Straquoto. FUD gratuito...
Mi sento di aggiungere un commento, spero che nessuno se la prenda:
.:chrome:. wrote: |
secondo me si sta andando un bel po' OT.
|
cloc3 wrote: |
.:chrome:. wrote: |
secondo me si sta andando un bel po' OT.
|
altrochè.
|
djinnZ wrote: |
@comio: non mi pare ancora OT, stiamo discutendo del se e come skype sia un problema di sicurezza come da titolo del thread.
|
Vorrei riportare in auge un vecchio topic che sembra sia passato di moda.
Alla fin fine siamo sotto la sezione discussione.
Per favore, lasciamo che la gente abbia un po' di libertà nell'esprimere le idee e magari facciamo notare l'OT proprio se è palese e inaccettabile. Altrimenti rivolgetevi ai moderatori e saranno loro a valutare e, se è il caso, a intervenire.
Forse sono l'unico ma questo tipo di atteggiamento mi risulta antipatico e uccide la mia voglia di discutere.
Rispetto molto la passione e la dedizione con cui i partecipanti del forum cercano di mantenere alto il livello di "qualità" del forum tuttavia a mio modesto parere qui a volte si sta oltrepassando il limite... _________________ Time is a great teacher, but unfortunately it kills all its pupils.
Louis-Hector Berlioz
--
When the Boogeyman goes to sleep every night, he checks his closet for Chuck Norris.
chucknorrisfacts.com |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Tue Aug 28, 2007 1:03 pm Post subject: |
|
|
La cosa seccante è che non riusciate a scindere i due problemi:
legale: | che un programma prenda possesso di informazioni quali l'elenco degli utenti di un sistema, i bookmark, l'elenco dei contatti etc. è un problema di sicurezza ai fini dell'interpretazione delle norme vigenti in materia di privacy. Nell'ipotetica informativa dovremmo aggiungere che i dati possono essere comunicati a skype che ne farà uso a fini statistici etc. Se skype lo fa di nascosto è sua responsabilità ma il problema è che non c'è nulla di ufficiale che escluda questa possibilità.
Non è un problema nuovo ed è una questione prettamente legale.
|
Lo so che è un approccio cretino ma chi si occupa di emanare direttive e soprattutto chi poi le deve interpretare ragiona sulla base del modello di sicurezza di windozz "alla buona" neppure sulle reali possibilità dei sistemi M$, figurarsi quanto di ciò può esser applicato ad un sistema posix moderno.
Per esempio non ci sarebbe nulla di male nell'attribuire dei nomi di dominio intelligenti ai pc (del tipo reception, contabilità, nome_cognome e via dicendo) invece di usare dei codici casuali (come fa l'installer di windozz) ma mi è stato rilevato in più occasioni che l'approccio corretto è il secondo (che secondo me serve solo a complicarti la vita e rendere più insicuro il tutto). O alla questione che è necessario avere password al bios (anche condivisa), login e password all'accesso utente (anche condivisi) e login e password al programma ma non è definito che l'ultima password sia memorizzata criptata e non è definito che non deve essere possibile usare un cd di boot, quindi basta una live con un editor per accedere. Al più il problema va risolto con un bel sistema antifurto e porte blindate.
pratico: | che un programma legga passwd o le cartelle dell'utente che lo esegue non deve essere un problema di sicurezza (ma nel caso della cache del browser o delle password memorizzate, ad esempio, si ed è una delle motivazioni che hanno spinto lo sviluppo di RSBAC/SElinux e compagnia) e c'è da vedere anche mozilla se è sicuro, indipendentemente da cosa possano combinare gli altri programmi. |
OT: | @jordan83 (ma non troppo): la discussione sull'auto-moderazione la continuiamo sull'apposito thread citato o in pm, se necessario. |
_________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Aug 28, 2007 4:18 pm Post subject: |
|
|
@jordan83:
la mia osservazione sull'OT era rivolta a comio, oltre che a me stesso, e mi riferivo alla divagazione di natura prettamente matematica sulla computabilità e la complessità del problema della ricerca esaustiva di una password dato uno spazio di generatori. nessun desiderio di sentirmi moderatore. io non vedo nessun atteggiamento che vuole uccidere la discussione, se non nel tuo intervento.
tornando alla discussione, è vero e sacrosanto che il contenuto di /etc è leggibile, ma la mia perplessità ha origine dal fatto che sebbene esistano applicazioni che hanno realmente necessità di dare un'occhiata a /etc/passwd (quasi tutte quelle che aprono socket server e molti eseguibili suid), skype non rientra fra queste, perché viene eseguito in spazio utente, non deve aprire socket in ascolto su porte privilegiate, e men che meno è suid o sgid (anzi, se fosse suid o sgid il problema non si porrebbe nemmeno). per questo il comportamento è effettivamente anomalo!!!
come è già stato detto /etc/passwd può anche contenere dati sensibili ed il fatto che a questi possano avere accesso applicazioni che normalmente non dovrebbero leggere questi dati è estremamente seccante, se non grave. |
|
Back to top |
|
|
nick_spacca l33t
Joined: 29 May 2004 Posts: 689 Location: Paris/France
|
Posted: Tue Aug 28, 2007 5:28 pm Post subject: |
|
|
.:chrome:. wrote: | @jordan83:
la mia osservazione sull'OT era rivolta a comio, oltre che a me stesso, e mi riferivo alla divagazione di natura prettamente matematica sulla computabilità e la complessità del problema della ricerca esaustiva di una password dato uno spazio di generatori. nessun desiderio di sentirmi moderatore. io non vedo nessun atteggiamento che vuole uccidere la discussione, se non nel tuo intervento.
tornando alla discussione, è vero e sacrosanto che il contenuto di /etc è leggibile, ma la mia perplessità ha origine dal fatto che sebbene esistano applicazioni che hanno realmente necessità di dare un'occhiata a /etc/passwd (quasi tutte quelle che aprono socket server e molti eseguibili suid), skype non rientra fra queste, perché viene eseguito in spazio utente, non deve aprire socket in ascolto su porte privilegiate, e men che meno è suid o sgid (anzi, se fosse suid o sgid il problema non si porrebbe nemmeno). per questo il comportamento è effettivamente anomalo!!!
come è già stato detto /etc/passwd può anche contenere dati sensibili ed il fatto che a questi possano avere accesso applicazioni che normalmente non dovrebbero leggere questi dati è estremamente seccante, se non grave. |
Scusa, perché non vi lamentate anche di gaim/pidgin allora? Stesse funzionalità e stesso accesso a /etc/* _________________ I can resist anything but temptation.
(O. Wilde) |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Tue Aug 28, 2007 5:29 pm Post subject: |
|
|
.:chrome:. wrote: | la mia perplessità ha origine dal fatto che sebbene esistano applicazioni che hanno realmente necessità di dare un'occhiata a /etc/passwd [...] skype non rientra fra queste, perché viene eseguito in spazio utente | Anche ls -l viene esguito in spazio utente e accede a passwd... passwd NON CONTIENE LE PASSWORD ma solo dei dati utili a fare le seguenti cose:
a) convertire l'uid e il gid numerico di un utente nel nome simbolico corrispondente.
b) scoprire quale sia la directory home dell'utente
FINE
Quote: | come è già stato detto /etc/passwd può anche contenere dati sensibili ed il fatto che a questi possano avere accesso applicazioni che normalmente non dovrebbero leggere questi dati è estremamente seccante, se non grave. |
Se passwd contiene dati sensibili è assolutamente colpa di chi ce li ha scritti. Passwd contiene tutte le informazioni che, a giudizio dell'amministratore di sistema, sono ritenute comunicabili a tutti gli utenti del pc (e per forza di cose alle applicazioni lanciate da questi utenti).
Il discorso su mozilla ha un senso, quello su passwd no. _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Tue Aug 28, 2007 5:37 pm Post subject: |
|
|
.:chrome:. wrote: | /etc/passwd può anche contenere dati sensibili ed il fatto che a questi possano avere accesso applicazioni che normalmente non dovrebbero leggere questi dati è estremamente seccante, se non grave. |
puntualizzazione: dati comuni (non sottoposti ad autorizzazione preventiva in genere, quale nome e cognome) non dati sensibili (altrimenti il sistema funzionerebbe in modo inacettabile, acnhe dal punto di vista pratico).
L'inghippo sta nel fatto che il non essere sottoposti a tutela particolare non ti esime dal sapere a chi e perchè vengono eventualmente inoltrati, principalmente ai fini della richiesta di rimozione.
E qui viene il problema comune al software proprietario che non indica in licenza (per comune pessima abitudine) alcun impegno a non captare questi dati (in realtà potrebbero benissimo essere comunicati il fatto è che la cosa deve essere esplicita) e l'arma in mano ai detrattori dell'open source che non riconoscono la possibilità di certificare (con apposito pezzo di carta, lo so che è meglio verificabile praticamente ma come già detto logica e politica sono sempre antitetiche) l'affidabilità da questo punto di vista.
@cazzantonio: poniamo che avvii un progetto di ricerca all'università usando il tuo computer linux come server, ovviamente registri con un apposito user ognuno dei collaboratori mettendo nome e cognome. Per contattare il docente usi skype. Poniamo quindi che skype effettivamente invii in remoto l'elenco degli utenti associati al tuo account, per fini statistici. Alla richiesta di rimozione dei dati come fai a sapere che devi informare skype di rimuovere detti dati? E se vengono usati per mandare email pubblicitarie?
Se invece nella licenza c'è scritto "il programma procede ad una scansione automatica degli utenti a fini statitisci e ne invia il numero al titolare" non c'è nessun problema, sei a posto. Se nella licenza c'è scritto invece "il programma non rileva alcun dato comune o riservato dal computer ospite per inviarlo a terzi" ed invece manda l'elenco di login e password memorizzate da firefox oltre all'elenco dei contatti email sei comunque a posto perchè la responsabilità è di chi lo ha rilasciato che ti ha fregato.
Purtroppo nessuna licenza è chiara sull'argomento e questo è un discorso a carattere generale che potrebbe coinvolgere ogni applicativo proprietario.
Oltre al fatto che se vengono effettuati dei rilievi statistici devi essere a conoscenza del fatto per poter esercitare i tuoi diritti.
Di mio mi preoccuperei più che altro che il programma usi passwd e firefox per determinare quale sia la distribuzione e causare malfunzionamenti ad hoc visti i precedenti proprio di skype. ma qui lo dico e qui lo nego. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
Last edited by djinnZ on Tue Aug 28, 2007 6:00 pm; edited 1 time in total |
|
Back to top |
|
|
flocchini Veteran
Joined: 17 May 2003 Posts: 1124 Location: Milano, Italy
|
Posted: Tue Aug 28, 2007 5:58 pm Post subject: |
|
|
premesso che non ho simpatia x skype in quanto esistono valide alternative open e cmq preferisco avere un sistema completamente open per ovvie ragioni...
non capisco lo scalpore a leggere /etc/passwd. Cavolo anche un ls lo fa, serve x determinare i permessi... Sul serio, non capisco Ho seguito l' (interessante) digressione di comio e chrome ma davvero non vedo cosa ci sia di strano.
Azzardo invece un'ipotesi sull'accesso ai profili firefox: se fosse un semplice check sul protocolla callto:// ? Anche li' mi sa che se invoca qsa che faccia la scansione, controlla tutto x forza di cose. Certo e' da verificare se e cosa viene poi inviato a skype _________________ ~~ Per amore della rosa si sopportano le spine... ~~ |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Tue Aug 28, 2007 6:07 pm Post subject: |
|
|
flocchini wrote: | Cavolo anche un ls lo fa, serve x determinare i permessi... Sul serio, non capisco |
che ls sai come (via glibc) e perchè lo fa. skype non sai se prende l'intero passwd e lo spedisce altrove e nella licenza non è indicato un cavolo che lo possa escludere.
Ma lo stesso problema lo crea in realtà il realplayer, il java ed ogni pacchetto proprietario. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Aug 28, 2007 6:12 pm Post subject: |
|
|
Cazzantonio wrote: | Anche ls -l viene esguito in spazio utente e accede a passwd... passwd NON CONTIENE LE PASSWORD |
scusa se mi permetto, ma che osservazione stupida...!
ls è un eseguibile locale, che non sparpaglia dati in giro per la rete; e poi non mi sembra di avere detto che si leggono le password in /etc/passwd, ma l'elenco utenti. forse dovresti leggere meglio i post prima di rispondere. |
|
Back to top |
|
|
cloc3 Advocate
Joined: 13 Jan 2004 Posts: 4810 Location: http://www.gentoo-users.org/user/cloc3/
|
Posted: Tue Aug 28, 2007 7:25 pm Post subject: |
|
|
jordan83 wrote: |
Mi sento di aggiungere un commento, spero che nessuno se la prenda:
... |
io no assolutamente. se ho ecceduto nei toni chiedo scusa.
e comunque ho letto gl initerventi di tutti con attenzione, soprattutto quelli più interessanti dei miei. _________________ vu vu vu
gentù
mi piaci tu |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Tue Aug 28, 2007 7:26 pm Post subject: |
|
|
djinnZ wrote: | @cazzantonio: [...] |
Non ci si intende... Se skype effettivamente invia a qualcuno dei dati sensibili non lo posso sapere, esattamente come non posso sapere che cosa fa QUALSIASI software binario.
Questo discorso non c'entra una beneamata con skype e vale per QUALUNQUE software binario compresi diversi sistemi operativi. Si tratta dell'annoso discorso sul software opensource vs closedsource.
Il fatto che skype in particolare acceda a dei file che sono assolutamente accessibili e anzi vengono letti per i più svariati motivi anche da molteplici chiamate di sistema non mi pare assolutamente una cosa di cui stupirsi!
Se vogliamo parlare del fatto generico che i software closed siano meno trasparenti è una cosa, se invece si sostiene che skype violi in qualche modo la privacy allora si deve dimostrare che invii tali dati a qualcuno.
Tutto il resto sono frasi che non significano nulla e alzano solo un polverone ingiustificato.
Skype, come ls, come gaim, come tutti i programmi che vogliono convertire un uid in un nome DEVONO accedere a passwd. Chiuso il discorso.
Questo non dimostra affatto che skype mandi qualche dato a qualcuno e comunque, tra tutti i dati accessibili ad un utente, passwd è assolutamente il meno significativo visto che si tratta di dati pubblici per tutti gli utenti del sistema.
Ora basta che mi sono rotto di dire ovvietà. _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Aug 28, 2007 9:05 pm Post subject: |
|
|
nel complesso quello che hai scritto è sacrosanto.
senza però voler sollevare polveroni, mi voglio solo porre una domanda: a quale pro un software come skype dovrebbe accedere a passwd? per quanto mi riguarda il problema è tutto qui.
skype consiste in un software che viene eseguito con privilegi utente e che non deve mai fare un raffronto con diversi UID, né tantomeno fare dei mapping. che io lo esegua con un utente a bassi privilegi, con uno a privilegi nulli, o con l'utente amministratore, dovrebbe essere ininfluente ai fini del funzionamento. per questo mi stupisce che tenti un accesso a /etc/passwd, ed ancora più strano è l'enumerazione del contenuto di ~/.mozilla/firefox. questo secondo dettaglio è quello che induce a pensare che ci sia effettivamente qualcosa che non va ed è molto difficile pensare che non si tratti di una sorta di monitoraggio delle abitudini dell'utente. è questo il punto su cui riflettere!
vorrei poi, se mi è permesso, fare un piccolo inciso sulla questione del contenuto di passwd: è vero che si tratta di dati pubblici, ma lo sono all'interno di un sistema. io sono fermamente convinto che quei dati non dovrebbero essere pubblici al di fuori del sistema stesso. è vero che non bisogna basare la sicurezza di un sistema su questo, ma restano comunque dati che non hanno motivo di essere divulgati, e che, in caso di pubblicazione, renderebbero molto più semplici tutta una serie di attacchi alla sicurezza del sistema stesso ed alla privacy degli utenti. |
|
Back to top |
|
|
flocchini Veteran
Joined: 17 May 2003 Posts: 1124 Location: Milano, Italy
|
Posted: Tue Aug 28, 2007 9:09 pm Post subject: |
|
|
.:chrome:. wrote: | ed ancora più strano è l'enumerazione del contenuto di ~/.mozilla/firefox. |
la mia ipotesi sull'analisi del protocollo callto:// e' da considerarsi una vaccata? A me sembrava plausibile... _________________ ~~ Per amore della rosa si sopportano le spine... ~~ |
|
Back to top |
|
|
.:chrome:. Advocate
Joined: 19 Feb 2005 Posts: 4588 Location: Brescia, Italy
|
Posted: Tue Aug 28, 2007 9:12 pm Post subject: |
|
|
flocchini wrote: | la mia ipotesi sull'analisi del protocollo callto:// e' da considerarsi una vaccata? A me sembrava plausibile... |
secondo me non avrebbe comunque motivo di accedere a quei file. si tratta di impostazioni, preferenze, cronologia e bookmark degli utenti. non vedo davvero alcuna utilità in quegli accessi |
|
Back to top |
|
|
comio Advocate
Joined: 03 Jul 2003 Posts: 2191 Location: Taranto
|
Posted: Tue Aug 28, 2007 9:16 pm Post subject: |
|
|
Cazzantonio wrote: | djinnZ wrote: | @cazzantonio: [...] |
Non ci si intende... Se skype effettivamente invia a qualcuno dei dati sensibili non lo posso sapere, esattamente come non posso sapere che cosa fa QUALSIASI software binario.
Questo discorso non c'entra una beneamata con skype e vale per QUALUNQUE software binario compresi diversi sistemi operativi. Si tratta dell'annoso discorso sul software opensource vs closedsource.
...
Ora basta che mi sono rotto di dire ovvietà. |
a titolo di esempio posto l'output completo del comando "ls -al", eseguito in una directory:
Code: |
strace -F -o lslog ls -al
|
l'output (nel file lslog) greppato su passwd è:
Code: |
cat log|grep passwd
open("/etc/passwd", O_RDONLY) = 4
|
ora... o ls sta violando la privacy oppure ha bisogno di controllare l'uid dei file.
per i più esigenti ecco il file: http://www.comio.it/lslog
ciao _________________ RTFM!!!!
e
http://www.comio.it
|
|
Back to top |
|
|
fedeliallalinea Administrator
Joined: 08 Mar 2003 Posts: 31432 Location: here
|
Posted: Wed Aug 29, 2007 5:47 am Post subject: |
|
|
nick_spacca wrote: | Scusa, perché non vi lamentate anche di gaim/pidgin allora? Stesse funzionalità e stesso accesso a /etc/* |
Perche sono razzista . No a parte gli scherzi comunque in gaim/pidgin hai la possibilita' di controllare come ne fa uso in skype no! Comunque il problema piu' grosso secondo me e' che usa un protocollo proprietario, di alternative valide ne esistono basta solo un poco di voglia da parte degli utenti a migrare ma sappiamo che e' qui che risiede il vero problema _________________ Questions are guaranteed in life; Answers aren't. |
|
Back to top |
|
|
fikiz Apprentice
Joined: 07 Mar 2005 Posts: 282 Location: Italy
|
Posted: Wed Aug 29, 2007 8:25 am Post subject: |
|
|
.:chrome:. wrote: | un piccolo inciso sulla questione del contenuto di passwd: è vero che si tratta di dati pubblici, ma lo sono all'interno di un sistema. io sono fermamente convinto che quei dati non dovrebbero essere pubblici al di fuori del sistema stesso |
se e' cosi', allora linux e gli unix-like hanno un grossissimo baco a livello di disegno del sistema: questo file non dovrebbe essere leggibile integralmente da qualunque processo, ma le sue informazioni dovrebbero essere accessibili solamente tramite una API che verifica e autorizza chi puo' leggere cosa.
In altre parole, skype legge /etc/passwd anche perche' il sistema operativo glielo ha permesso. Se queste informazioni non devono essere pubblicate al di fuori del sistema stesso, il sistema stesso lo deve impedire.
Resta ancora da dimostrare che quel file venga letto direttamente da skype e non da una funzione della glibc a cui lui si appoggia. |
|
Back to top |
|
|
nick_spacca l33t
Joined: 29 May 2004 Posts: 689 Location: Paris/France
|
Posted: Wed Aug 29, 2007 9:04 am Post subject: |
|
|
fedeliallalinea wrote: | nick_spacca wrote: | Scusa, perché non vi lamentate anche di gaim/pidgin allora? Stesse funzionalità e stesso accesso a /etc/* |
Perche sono razzista . No a parte gli scherzi comunque in gaim/pidgin hai la possibilita' di controllare come ne fa uso in skype no! Comunque il problema piu' grosso secondo me e' che usa un protocollo proprietario, di alternative valide ne esistono basta solo un poco di voglia da parte degli utenti a migrare ma sappiamo che e' qui che risiede il vero problema |
E sei anche un po comunista allora ...
Scherzi a parte quello che dici è giustissimo, skype è un software proprietario e come tale *potrebbe* fare cose quali tutte quelle citate fin'ora...ma questo è + un discorso filosofico sul fatto che sia meglio o meno il software opensource rispetto al proprietario.
Dato pero' l'assunto che io sia pienamente consapevole di aver installato un software proprietario (skype), di TUTTE le infinite bassezze che questo puo fare a mia insaputa, questa la reputo la meno pericolosa...
Altra cosa puo essere il controllo della dir mozilla, anche se, anche li, il controllo (e -bada bene- non l'utilizzo, che nn è dimostato) puo avere senso considerando che di skype si potrebbero installare varie estensioni per firefox (toolbar, callto: , etc etc).. quindi anche questo non mi scandalizza + di tanto.
Detto questo, ovviamente, mi accodo anche io alle persone che vogliono avere delle delucidazioni dagli sviluppatori skype (senza saltargli subito alla giugulare ) _________________ I can resist anything but temptation.
(O. Wilde) |
|
Back to top |
|
|
randomaze Bodhisattva
Joined: 21 Oct 2003 Posts: 9985
|
Posted: Wed Aug 29, 2007 9:13 am Post subject: |
|
|
.:chrome:. wrote: | senza però voler sollevare polveroni, mi voglio solo porre una domanda: a quale pro un software come skype dovrebbe accedere a passwd? per quanto mi riguarda il problema è tutto qui. |
Per proporti come prima scelta di login lo stesso username che usi sul PC?
Per scrivere nel log (o nella finestrelal di info, o chissà dove) che é stato invocato con l'utente "chrome" e non 1234? _________________ Ciao da me! |
|
Back to top |
|
|
fedeliallalinea Administrator
Joined: 08 Mar 2003 Posts: 31432 Location: here
|
Posted: Wed Aug 29, 2007 9:17 am Post subject: |
|
|
@nickspacca: Pienamente d'accordo con te! _________________ Questions are guaranteed in life; Answers aren't. |
|
Back to top |
|
|
cloc3 Advocate
Joined: 13 Jan 2004 Posts: 4810 Location: http://www.gentoo-users.org/user/cloc3/
|
Posted: Wed Aug 29, 2007 11:32 am Post subject: |
|
|
comio wrote: |
ora... o ls sta violando la privacy oppure ha bisogno di controllare l'uid dei file.
|
ok, però, (come è sottinteso nel ragionamento di comio) dal sorgente, si può vedere che ls non accede direttamente a passwd:
Code: |
cloc3@s939 ~ $ grep -rH passwd coreutils-6.9|grep src
coreutils-6.9/src/su.c:/* The shell to run if none is given in the user's passwd entry. */
coreutils-6.9/src/su.c:log_su (struct passwd const *pw, bool successful)
coreutils-6.9/src/su.c: struct passwd *pwd = getpwuid (getuid ());
coreutils-6.9/src/su.c:correct_password (const struct passwd *pw)
coreutils-6.9/src/su.c: /* Shadow passwd stuff for SVR3 and maybe other systems. */
coreutils-6.9/src/su.c: correct = pw->pw_passwd;
coreutils-6.9/src/su.c:modify_environment (const struct passwd *pw, const char *shell)
coreutils-6.9/src/su.c:change_identity (const struct passwd *pw)
coreutils-6.9/src/su.c: struct passwd *pw;
coreutils-6.9/src/su.c: struct passwd pw_copy;
coreutils-6.9/src/su.c: && pw->pw_passwd))
coreutils-6.9/src/su.c: pw->pw_passwd = xstrdup (pw->pw_passwd);
coreutils-6.9/src/id.c: struct passwd *pwd = getpwnam (argv[optind]);
coreutils-6.9/src/id.c: struct passwd *pwd = NULL;
coreutils-6.9/src/id.c: struct passwd *pwd;
coreutils-6.9/src/id.c: struct passwd *pwd;
coreutils-6.9/src/setuidgid.c: struct passwd *pwd;
coreutils-6.9/src/chown-core.c: struct passwd *pwd = getpwuid (uid);
coreutils-6.9/src/pinky.c: struct passwd *pw;
coreutils-6.9/src/pinky.c: struct passwd *pw;
coreutils-6.9/src/system.h:struct passwd *getpwuid ();
coreutils-6.9/src/install.c: struct passwd *pw;
coreutils-6.9/src/whoami.c: struct passwd *pw;
coreutils-6.9/src/chown.c: p from passwd| --- | chown u. |
coreutils-6.9/src/stat.c: struct passwd *pw_ent;
|
non essendo io in grado di legggere in modo più approfondito l'output di strace, ne deduco da quanto sopra che non è uno strumento adatto a fare luce piena sulla questione. nella notizia, però, la responsabilità della scoperta è attribuita ad app-armor (altro software che non conosco), e che sarebbe più affidabile, almeno agli occhi del giornalista (agostano?).
secondo me la fonte afferma che il programma acceda ai file indiziati in modo esteso, non per una singola informazione circoscritta. e se non fosse così, si concluda pure che la notizia è una patacca, pur avendola lincata io per primo.
è evidente che non è possibile dedurre l'uso delle informazioni da parte di un programma chiuso, ma mi sembra strano che in linux non si possa dedurre con precisione il percorso con la quale il programma stesso se le procura. da questo assunto è partita la mia perplessità iniziale. _________________ vu vu vu
gentù
mi piaci tu |
|
Back to top |
|
|
Raffo Veteran
Joined: 23 Apr 2004 Posts: 1019 Location: Berlin
|
Posted: Wed Aug 29, 2007 4:07 pm Post subject: |
|
|
Ho recentemente installato skype per windows sul pc della mia ragazza (non me ne vogliate). Ha installato da solo una extension per firefox che penso dovrebbe servire a notificare chiamate o eventi nel browser (o altro ancora, chi lo sa, l'ho disinstallata prima di subito). Avere questa informazione può esservi d'aiuto? |
|
Back to top |
|
|
edux Apprentice
Joined: 15 Nov 2005 Posts: 223 Location: Bologna
|
Posted: Thu Aug 30, 2007 1:38 pm Post subject: |
|
|
Bah, io ripeto che secondo me leggere /etc/passwd è perfettamente legale e non mi stupisco se un qualsivoglia processo decide di leggerlo.
Bisogna invece vedere se skype viola realmente la privacy, inviando i miei dati o le informazioni di firefox a qualcuno.
Ma finchè non si è sicuri di questo, è sbagliato accusare skype. _________________ E' la seconda più grande testa di scimmia che abbia mai visto!
(Guybrush Threepwood) |
|
Back to top |
|
|
|