Re: [Comm] Пытливый gnome keyring

[Alexey Rusakov <ktirf@altlinux.org>]

[-- Attachment #1: Type: text/plain, Size: 4265 bytes --]

В Вск, 11/10/2009 в 16:14 +0400, Павел Скрылёв пишет:
> Приветствую всех,
> 
> Уже не первый раз замечаю, что на некоторые приложения gnome keyring
> начинает просить пароля пользователя, причём того, под которым человек
> работает, и что любопытно, на разных машинах на разные приложения, то
> на gajim, то на network-manager.
> 
> Кто-нибудь весть, как бы избежать такого вопроса?
Ну, если отвечать в духе "каков вопрос, таков ответ", то - да, я знаю,
как избежать.

А если хочется всё-таки понять, что происходит и почему так, то вот вам
несколько соображений:
1. У вас совпадают пароли пользователя и брелока этого пользователя.
Добились вы этого, скорее всего, невнимательно прочитав первое за жизнь
системы сообщение от GNOME Keyring о предложении задать(!) пароль на
основной брелок. Вы, скорее всего, посчитали, что это запрос пароля
пользователя и ввели его.
2. GNOME Keyring запрашивает пароль при первом обращении к ключнице, при
этом всё равно, какое приложение пытается обратиться к ней. Это как
отпирание замка на сундуке: достаточно отпереть его один раз для всех,
но сделать это нужно.
3. В меню Приложения - Стандартные есть пункт "Пароли и ключи
шифрования". Рекомендую познакомиться с этим приложением, особенно с его
разделом "Пароли". К сожалению, справка по этому приложению не очень
богата на подробности про работу с паролями и сколько-нибудь релевантный
фрагмент находится в разделе "Параметры" (кто бы подумал).

То что вам нужно знать (и что, я надеюсь, скоро попадёт в штатную
справку): у вас есть два особых брелока, основной (default) -
используемый для хранения паролей по умолчанию, и брелок входа в систему
(login), который автоматически отпирается при вашем входе в систему.
Нет, эти два брелока нельзя объединить, но можно перенести пароли из
одного в другой. Решайте сами, доступ к каким паролям вам важно
контролировать (и кладите эти пароли в основной брелок) а к каким можно
разрешать доступ сразу при входе в сеанс. Имейте в виду один момент:
несмотря на принимаемые меры безопасности, отпертый брелок - это то же
самое как если бы вы уже ввели этот пароль по требованию приложения. Так
что рекомендую следить за тем, какие приложения имеют доступ к брелку,
чтобы не наткнуться на кражу паролей каким-нибудь скриптом в
HTML-письме, открытом в вашем почтовом клиенте.

Надеюсь, теперь вам более понятна "пытливость" gnome-keyring.

-- 
  Alexey "Ktirf" Rusakov
  GNOME Project
  ALT Linux Team

[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 198 bytes --]