[Golem] Ma perche` skype che non si fa i ca$$i suoi !!

$pooky Hunter spooky@libero.it
Gio 13 Set 2007 13:24:53 CEST


Raistlin wrote:
> http://www.ossblog.it/post/3046/skype-ficca-il-naso-in-etcpasswd
> http://forum.skype.com/index.php?showtopic=95261
> 
> La notizia e` di qualche tempo fa, e non so, sinceramente, se ci sono
> stati sviluppi o repliche ufficiali (ma dando una occhiata rapida non ne
> ho trovate), ma il succo e` che Skype, quando lo eseguite, si va a
> tuffare ed a ciacciare nel file di sistema "/etc/passwd" e, nella home
> dell'utente, nella directory di Firefox ("$HOME/.mozilla/firefox)

Pensi che nel file /etc/password ci siano scritte le password degli
utenti? No (mica siamo su un sistema MS) ed infatti tutti hanno i
permessi per leggerlo.
/etc/shadow è il file con le password e solo root può leggerlo e scriverlo.
Poter risalire al nome utente partendo dall'ID del processo mi sembra un
motivo valido per leggere il file /etc/pasword.
Allarmismi del tipo “Skype legge le password degli utenti su Linux" mi
sembrano quindi ingiustificati.

Per quanto riguarda .mozilla/ sembra che skype voglia verificare se è
registrato il protocollo callto://

Ad ogni modo se non vuoi che un file venga letto basta gestire i suoi
permessi in tal senso.

> Ovviamente il tutto e` stato ottenuto analizzando con alcuni trucchi e
> tecniche orientate principalmente alla sicurezza ed al debugging dato
> che, non essendo disponibili i sorgenti, il codice per capire cosa fa il
> programma non si puo` guardare... 

Insomma: strace...

E soprattutto non si puo` cercare di
> capire che cavolo se ne faccia questo malefico programmino di tali
> informazioni!!

Basterebbe uno sniffer di rete per vedere se manda qualcosa a qualucno.

> Voi dite <<Chi se ne frega?>> Bhe`, allora continuate ad usarlo...

Per ora penso di sì.


-- 
"L'uomo privilegiato politicamente o economicamente
e' un uomo intellettualmente e moralmente corrotto."
(Michail Alexandrovic Bakunin)
http://linux.med.unifi.it/spooky

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: OpenPGP digital signature
URL:         <http://lists.linux.it/pipermail/golem/attachments/20070913/f12cfa8d/attachment.pgp>


Maggiori informazioni sulla lista golem