[devel] Re: Insecure installer log

Stanislav Ievlev =?iso-8859-1?q?inger_=CE=C1_altlinux=2Eorg?=
Чт Май 19 15:48:14 MSD 2005


On Thu, May 19, 2005 at 12:52:07PM +0400, Vitaly Ostanin wrote:
> Anton Farygin пишет:
> >Sergey Pinaev wrote:
> >
> >>On Wed, 18 May 2005 17:01:09 +0400
> >>Vitaly Ostanin <vyt на vzljot.ru> wrote:
> >>
> >>>Есть предложение в установщике не писать пароли пользователей
> >>>открытым текстом в /var/cache/alterator/install3.log.
> >>
> >>и, заодно, слать по почте на rider@
> >
> >Нахрен мне этот спам ? ;-)
> 
> На самом деле не смешно. Удивлюсь, если многие пользователи в
> каждом аккаунте используют разные пароли. Возможность увидеть их
> приаттаченными к bugzilla в виде install3.log как-то не радует.
> Кстати, надо будет посмотреть права доступа к этому файлу в
> установленной системе.
> 
> Этот же файл после выпуска дистрибутива будут спрашивать в
> рассылках при возникновении проблем с установкой. И народ будет
> наивно отсылать...
> 
> <skipped/>
Он всегда перемещался в /root по окончанию установки. Впрочем теперь он
там будет сразу - справедливое замечание.
Ну а что касается паролей, то тут сложный вопрос: звукозаписывающее
устройство, которое генерит этот лог ничего о паролях не знает ибо потом
оно может полностью "проиграть" этот лог в alterator'е заместо
пользователя, как будто бы он сидел за клавиатурой. Наверное потом мы
сделаем какой-нибудь 'чистильщик' паролей для желающих.

> 
> --
> Regards, Vyt
> mailto:  vyt на vzljot.ru
> JID:     vyt на vzljot.ru



> _______________________________________________
> Devel mailing list
> Devel на altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/devel




Подробная информация о списке рассылки Devel