PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : password beim decoder nicht verschlüsselt


ha34Er
13.01.2008, 00:46
Hallo,

mir ist gerade aufgefallen das der decoder von otr das Passwort in der Win-registrie ablegt.

Unter HKEY_CURRENT_USERSoftwareMultidecoderMultidecoder_ IESettingsPassword_otr

wird das otr passwort unverschlüsselt abgelegt. Dies finde ich unverantwortlich, da man immer zu den usern sagt sie sollen ein sicheres pwd nehmen aber dies bringt ja gar nichts da otr sich um passworter ja ünerhaupt nicht kümmert und diese einfach mal so in die registrie schreibt. Natürlich unverschlüsselt so ein Passwort brachst ja auch niemand, das dient doch nur dazu den user zu ärgern wenn er sich bei otr anmelden will.

Ich hoffe dies wird so schnell wie möglich geändert und darauf hingewiesen das der otr decoder eine gravierende Sicherheitslücke ist.

mfg

ha34Er
Mr. S
13.01.2008, 15:38
Das ist nichts neues. Ich habe mich mit dem Entwickler darüber auch schon unterhalten. In der Ankündigung des Decoders nach Einführung des neuen Verfahrens steht das auch als Kritikpunkt drin.

Aber wie man bei MS zu sagen pflegt: It's not a bug - it's a feature!

Bei den offiziellen Decodern wird das immer unverschlüsselt bleiben, daher gebe ich auch vor jedem entschlüsseln meine Zugangsdaten neu ein.
Fabi1111
13.01.2008, 15:42
@Mr.S
Wenn es eine neue Version deines Decoders geben wird, wird es dort dann verschlüsselt gespeichert?
ha34Er
13.01.2008, 15:43
Bei den offiziellen Decodern wird das immer unverschlüsselt bleiben

Wieso das den?

Da ich wie schon gesagt selbst programmier weiß ich das das mit wenigen Codezeilen behoben werden kann.

Aber kann man nichts machen.Schade um den guten Ruf von OTR :mad:
Mr. S
13.01.2008, 16:00
@Mr.S
Wenn es eine neue Version deines Decoders geben wird, wird es dort dann verschlüsselt gespeichert?
Bei mir wurden und werden die Daten immer verschlüsselt.
ha34Er
13.01.2008, 16:07
Bei mir wurden und werden die Daten immer verschlüsselt.

Dann kann jeder OTR User nur hoffen das dein Decoder(neu Version) so schnell wie möglich kommt.
Mr. S
15.01.2008, 15:25
@sw2005
Du hast nix gesagt ;)
sw2005
15.01.2008, 16:26
(kleinlaut) aber es war doch mal so, oder nicht???

ansonsten: Sorry!
Mr. S
15.01.2008, 23:09
(kleinlaut) aber es war doch mal so, oder nicht???

ansonsten: Sorry!
Ja, ganz früher war das mal so.
ha34Er
18.01.2008, 18:48
Ich bedanke mich beim OTR Support, die mich kontaktiert haben und mir eine Version des Decoders zukommen ließen, der die Passwörter sowie EMail-Adressen wie gewünscht verschlüsselt speichert.

Vielen Dank für das schnelle Reagieren des OTR Supportes auf dieses Problem.
Fabi1111
18.01.2008, 18:54
Könnte man diese Version auch auch bei OTR anbieten?
Damit alle User diesen Decoder benützen können.
ha34Er
18.01.2008, 19:00
Könnte man diese Version auch auch bei OTR anbieten?
Damit alle User diesen Decoder benützen können.

Habe zu diesem Thema bereits eine Anfrage beim OTR Support gestellt und warte noch auf die Antwort. Wenn ich mehr weiß schreibe ich dies natürlich sofort hier rein