[Golem] Ma perche` skype che non si fa i ca$$i suoi !!

Raistlin raistlin@linux.it
Gio 13 Set 2007 14:48:42 CEST


On Thu, 2007-09-13 at 13:24 +0200, $pooky Hunter wrote:
> Pensi che nel file /etc/password ci siano scritte le password degli
> utenti? No (mica siamo su un sistema MS) ed infatti tutti hanno i
> permessi per leggerlo.
Ehm... Lo so, sinceramente lo so! :-O

> Allarmismi del tipo “Skype legge le password degli utenti su Linux" mi
> sembrano quindi ingiustificati.
Ma veramente io non ho mai detto che "Skype legge le password degli
utenti"... Ho riletto la mia mail e non ho trovato niente del genere, tu
si?

So benissimo che in /etc/passwd le password non ci sono, c'e` la lista
di tutti gli utenti del sistema pero`... Che se ne fa Skype ? :-O

> Per quanto riguarda .mozilla/ sembra che skype voglia verificare se è
> registrato il protocollo callto://
Mha, puo` darsi, non lo so e non mi interessa (tanto non uso Skype!).
Noto pero` una cosa: l'unico modo che ha per fare questo e` fare
"open(...)" su tutti i file contenuti in tutte le directory e
sottodirectory dentro .mozilla/firefox/ ?

Accidenti, bel metodo davvero! :-O

Occhio che in quelle directory e sottodirectory ci dovrebbero anche
essere la cache delle pagine visitate, le estensioni installate, la
configurazione del browser, i bookmarks, ... Tutta roba che definirei
decisamente "sensibile" dal punto di vista vista della privacy!! :-O

> Ad ogni modo se non vuoi che un file venga letto basta gestire i suoi
> permessi in tal senso.
Mmm... E come fai ad impedire a Skype, lanciato dall'utente "raistlin",
di leggere le directory ed i file in /home/raistlin/.mozilla/firefox
che, ovviamente, anche una qualunque istanza di Firefox, anche lei
lanciata dall'utente "raistlin" _deve_ poter leggere ?

Non credo ci sia una configurazione semplice di permessi che permetta
(scusate il bisticcio) a due programmi con effective user id e effetcive
group id identici di avere un diverso comportamento circa l'accesso ad
uno stesso file... Per giunta nella home di un utente!

Ovviamente tutto si puo` fare, e so che di soluzioni se ne possono
trovare anche a questo problema (SELinux, AppArmor, magheggi vari con
processi-utenti-permessi, ecc.) ma non si tratta certo di un semplice
`chmod' o di una cosetta da nulla alla portata di tutti gli utenti!! :-(

> > Ovviamente il tutto e` stato ottenuto analizzando con alcuni trucchi e
> > tecniche orientate principalmente alla sicurezza ed al debugging dato
> > che, non essendo disponibili i sorgenti, il codice per capire cosa fa il
> > programma non si puo` guardare... 
> 
> Insomma: strace...
Appunto, il tutto e` stato ottenuto (anche) con strace! Bravo!! :-)

Ma strace ti dice, ad esempio, i file che vengono aperti, non cosa il
programma ci faccia, o almeno non tutto, visto che non tutto si fa con
le system call!!

> E soprattutto non si puo` cercare di
> > capire che cavolo se ne faccia questo malefico programmino di tali
> > informazioni!!
> 
> Basterebbe uno sniffer di rete per vedere se manda qualcosa a qualucno.
Bhe`, ma non invia i dati con nessun tipo di cifratura ?? :-O

Io sapevo di si, ma posso sbagliarmi (e non so, sinceramente, se sia
meglio o peggio!! :-O)

> > Voi dite <<Chi se ne frega?>> Bhe`, allora continuate ad usarlo...
> 
> Per ora penso di sì.
Liberissimo, il mondo e` bello per quello! :-)

La mia paura e` quella che si crei (se non c'e` gia`!!) una posizione
dominante "de-facto" di Skype/eBay nel settore del VoIP, esattamente
come accadde (accade) per i browser su Internet con InternetExplorer, a
scapito di soluzioni e programmi Liberi ed open source e, ancora piu`
grave, a scapito dei protocolli standard ed aperti, il che sarebbe IMHO
molto grave...

Non condividi ?

Ciao,
Dario

-- 
<<This happens because I choose it to happen!>>
(Raistlin Majere, DragonLance Chronicles -Dragons of Spring Drawning-)
----------------------------------------------------------------------
Dario Faggioli
GNU/Linux Registered User: #340657
SIP Account: dario.faggioli@sipproxy.wengo.fr or
             raistlin@ekiga.net
Jabber Account: dario.faggioli@jabber.org/WengoPhone
GnuPG Key ID: 4DC83AC4
GnuPG Key Fingerprint: 2A78 AD5D B9CF A082 0836 08AD 9385 DA04 4DC8 3AC4
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/golem/attachments/20070913/b877c68b/attachment.pgp>


Maggiori informazioni sulla lista golem