Pages

22 mai 2010

Gnome: Mot de passe en clair dans gconf-editor ...

Les paramètres de connexion à Internet définis dans Gnome dans le menu "Serveur mandataire" (Menu System->Préférences->Serveur mandataire sur Debian), permettent de définir un proxy HTTP, mais aussi HTTP sécurisé, FTP ou SOCKS.

J'ai été assez surpris de voir que les paramètres d'authentification auprès du proxy HTTP s'affichaient en clair dans le gconf-editor (/system/http-proxy).

En fait, la configuration de Gnome située dans le répertoire .gconf de l'utilisateur est stoquée dans des fichiers XML, auxquels normalement seul l'utilisateur en question a accès du fait des droits du répertoire .gconf.

Néanmoins, c'est un peu surprenant que le mot de passe du serveur mandataire soit en clair dans les fichiers XML:
find .gconf -name "*.xml" -exec grep password {} \; -print

myclearpassword
.gconf/system/http_proxy/%gconf.xml
Donc, si vous éditez la configuration de Gnome et que quelqu'un est derrière vous, il faut changer votre mot de passe rapidement :-)

Aucun commentaire:

Enregistrer un commentaire