Principal » Foros » Bugzilla

Solicitud de voto en Bugzilla: Drakfirsttime guarda la contraseña del mandriva club en texto plano en syslog (Solucionado)

Enviado por drakedalfa el 16 Mayo, 2007 - 18:23.

El drakfristtime es un asistente que aparece al correr mandriva por primera vez y te pregunta si eres parte del club, si le dices que si el guarda tu contraseña en texto plano en syslog esto es muy inseguro:

El bug esta aqui:

http://qa.mandriva.com/show_bug.cgi?id=30854

y se puede votar en este enlace

‹ Solicitud de Voto en Bugzilla: Añadir opciones a rpmdrake Repositorios funcionan mal de nuevo (Solucionado) ›

Opciones de visualización de comentarios

Seleccione la forma que desee de mostrar los comentarios y haga clic en «Guardar opciones» para activar los cambios.
Gravatar de Incubo

# 35047: Votado!!!

Enviado por Incubo el 21 Mayo, 2007 - 18:01.

Pues eso, Votado está, y es que me parece muy gordo el fallo, sobre todo en nuestro sistema favorito del que siempre alardeamos de su seguridad.

------------------------
linux user #341210

»
Gravatar de Guala

# 35067: MDV hace rato que soltó la mano en el tema seguridad.

Enviado por Guala el 22 Mayo, 2007 - 00:54.

...ejemplo de ello es la posibilidad de poder crear cuentas de usuario sin contraseña, en fin, ¿No querían un sistema linux similar a Win2? pues ese ya es un buen comienzo. :(

En todo caso, por si sirve de consuelo :P, no somos los únicos que despreocupan la seguridad, la posibilidad de hacer un sudo rm -f /* tampoco anda muy lejos de las pésimas costumbres pro cantidad de usuarios... ¡una pena! pero así están las cosas.

Salu2.

»
Gravatar de pacho

# 35096: -

Enviado por pacho el 22 Mayo, 2007 - 19:44.

Una cosa no tiene nada que ver con la otra:
1. En todas las distribuciones se pueden crear cuentas sin contraseña, incluso quitarla a posteriori:

passwd -d "usuario"

Se supone que el usuario ha de ser suficientemente inteligente como para saber si, en su situación, es algo conveniente o no

2. Este problema es un fallo, no algo premeditado

3. Para romper el sistema tendrías que hacer: sudo rm -rf /* ;-)

Saludos :-)


NO LEER

JID:pacho@jabber-hispano.org
El Blog de Pacho

»
Gravatar de Incubo

# 35862: No lo veo conveniente...

Enviado por Incubo el 25 Mayo, 2007 - 21:57.

Da igual la situación que plantees, linux siempre debería obligar a usar la constraseña. Además, hoy por hoy muchos PCs están conectados a la red y cada día que pasa más, y hay que ser un poco cabeza loca para ir por ahí con una cuenta sin password. Está bien, a lo mejor no te entran como root pero con que te borren tus documentos y tus archivos ocultos de tu usuario a ver como recuperas tu todos eso ahora (documentos, correo, configuración personal...) y ahora dime que hay que tener una copia de seguridad que te digo yo que si un usuario es tan feliz de andar sin pass no creo yo que tenga muchas copias y si las tiene son de hace 2 años por lo menos...

Linux debe ser fácil, pero la facilidad no está reñida con las buenas costumbres ni con la seguridad.

Saludos a todos.

------------------------
linux user #341210

»
Gravatar de pacho

# 35885: .

Enviado por pacho el 26 Mayo, 2007 - 10:15.

Linux no DEBE OBLIGAR a nadie a usar una contraseña, en todo caso, tender a que la pongas siempre, pero te ha de dejar la opción (como te deja) de quitarla, dado que también hay muchos ordenadores con un sólo usuario o que no están conectados a internet. Te puedo asegurar que hay miles de situaciones posibles, y en algunas, puede ser mejor no poner contraseña a una cuenta de usuario corriente (root es otra cosa), por ejemplo, puede darse la situación de que es una cuenta para un uso público de cualquier usuario que pueda pasar por allí (gente desconocida) con un home cuya información no es transcendental, por ejemplo, un telecentro para navegar por internet con una cuenta usada por decenas de personas para navegar o realizar algunos documentos (que permancecen en ese ordenador temporalmente).

Te puedo garantizar que hay situaciones en las que no poner contraseña a una cuenta de usuario puede ser una opción ;-)

Saludos


NO LEER

JID:pacho@jabber-hispano.org
El Blog de Pacho

»
Gravatar de Incubo

# 35924: Bueno

Enviado por Incubo el 27 Mayo, 2007 - 08:16.

Cuando se lleva razón se lleva y sí, me has dado un par de opciones donde no es necesario, pero CHILLO porque estoy harto de mucho insensato que, sin ser el caso que tu describes, andan tan felices así por el mundo. Estoy harto de ser el "Pringao" al que luego le toca calentarse la coca... supongo que alguien me entiende ¿no?

Un Saludo a todos.

------------------------
linux user #341210

»
Gravatar de SinnerBOFH

# 35935: Mi opinion

Enviado por SinnerBOFH el 27 Mayo, 2007 - 15:24.

Hola,

En mi opinion, Mandriva DEBERÍA obligar a poner password para root y para todos los usuarios.

Luego, si el usuario tiene el conocimiento necesario, ya podrá cambiar el comportamiento del sistema.

Igual que el tema de porque no sale el usuario "root" en la ventana del login gráfico donde sale el listado de usuarios del sistema.

Salut,
Sinner

Linux User # 89976 - Blog de SinnerBOFH

»
Gravatar de pacho

# 35936: .

Enviado por pacho el 27 Mayo, 2007 - 16:24.

Yo con poder quitar la password posteriormente con el comando passwd me conformo :-)

Saludos


NO LEER

JID:pacho@jabber-hispano.org
El Blog de Pacho

»
Gravatar de Guala

# 36052: Siento no haber respondido antes ;)

Enviado por Guala el 30 Mayo, 2007 - 21:06.

Mr. Pacho, defender lo indefendible no será jamás un razón de peso, en todo caso no te discuto que es problema de cada cual el no asumir reglas de seguridad, pero vamos, NO es por ser majadero :D, pero lo del "passwd -d usuario" no se relaciona directamente con lo que yo acuso, el echo de permitir crear cuentas sin passwd es un privilegio de root, y sobre eso, es cosa de probar desde una cuenta sin privilegios y rápidamente verificaremos que los propios usuarios no pueden dejar su cuenta sin passwd... ¿Incoherencias o qué?.

con respecto a que TODAS las distros son inseguras en el tema de cuantas sin passswd... ¡Lo siento! estás rotúndamente equivocado, hay varias distros que no lo permiten, entre ellas está la innombrable en BD. :P

Sobre el bug, yo no digo que fue premeditado, lo que propongo es aquella idea que dice: "Cuando se adoptan prácticas inseguras no se pueden azombrar luego por la aparición de bugs que vulneren la seguridad"... pero en fin, de lo que SI estoy muy seguro es que ¡las casualidades no existen!, los errores siempre tienen una causal, e insisto, una de ellas es la adopción práctica de políticas inseguras.

...por cierto, comento que como mi intención no es polemizar ni mucho menos provocar "in fights", sino que al contrario, solo busco provocar debates productivos, en base a eso les cuento que el dichozo sudo rm -rf /* puede ser ejecutado desde cualquier cuenta de usuario en la distro innombrable :D, esto con todo el riesgo que ello conlleva, pero curiósamente, el "passwd -d usuario" no está permitido, pero bueno, unos de lso argumentos de la innombrable es que es un riesgo conciente en beneficio de la comodidad de los uasurios... uffffffff que estupidez!!!

Para terminar les comento que para mi uno de los motivos por los que elijo una distro y no otra, está el tema de la seguridad, para mi es grave y una pésima práctica esto de permitir la creación de cuentas sin passwd en el proceso de instalación como es el caso de MDV, también encuentro muy mala la adopción de sudo por parte de la innombrable y bueno, por algo estoy en MDV, lo grave es que desconozco desde que versión se permite esta mala práctica, yo siempre colocaba passwds hasta que un día ví el post de un usuario de BD comentando que el no había puesto contraseña ¿:o?... en fin, yo lo anunciaría como un bug y es por eso que pretendo debatir sobre el tema.

Salu2.
P.D. Pido perdón si en mi respuesta repito lo que otro usaurio haya dicho, lo que pasa es que preferí responder esto antes de leer las otras respuestas apra así no influenciarme. :D

»
Gravatar de pacho

# 36109: .

Enviado por pacho el 1 Junio, 2007 - 22:58.

Mr. Pacho, defender lo indefendible no será jamás un razón de peso

Te he puesto un ejemplo en el que puede ser mejor quitar la password (por supuesto ateniendose a las consecuencias), ¿qué es lo indefendible?

con respecto a que TODAS las distros son inseguras en el tema de cuantas sin passswd... ¡Lo siento! estás rotúndamente equivocado, hay varias distros que no lo permiten, entre ellas está la innombrable en BD. :P

En fin, no sé por qué deduces que estoy "rotúndamente equivocado", en ubuntu claro que puedes (y en otras distribuciones, salvo que tengan "capado" el passwd (hay tantas distros que nunca se sabe...)) quitar la contraseña. Al menos podrías haber realizado una simple búsqueda.

lo que propongo es aquella idea que dice: "Cuando se adoptan prácticas inseguras no se pueden azombrar luego por la aparición de bugs que vulneren la seguridad"

Es una idea que no comparto en absoluto, son dos temas totalmente diferentes que sólo tienen en común la palabra "password"

de lo que SI estoy muy seguro es que ¡las casualidades no existen! los errores siempre tienen una causal, e insisto, una de ellas es la adopción práctica de políticas inseguras.

Eres muy libre de creer lo que quieras, lo que no entiendo es por qué eres capaz de asegurar que esas son las causas

puede ser ejecutado desde cualquier cuenta de usuario en la distro innombrable :D

Completamente equivocado, no todos los usuarios de esa distribución pueden ejecutar sudo con esas libertades
De hecho, si lo deseas, con un simple passwd root desde la "cuenta privilegiada" (suele ser la primera) puedes tener un root y, luego, borrar esa cuenta y crear otras cuentas "normales", de forma que, al final, puedes tener el sistema con la organización de mandriva

Saludos


NO LEER

JID:pacho@jabber-hispano.org
El Blog de Pacho

»
Gravatar de drakedalfa

# 36998: Ya esta solucionado

Enviado por drakedalfa el 21 Junio, 2007 - 02:17.

Como podemos ver en el hilo en bugzilla:

http://qa.mandriva.com/show_bug.cgi?id=30854

El problema ya ha sido solucionado con un parche y ya esta en las actualizaciones.

--
¿Quien es Jesucristo?

»