From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <inger@altlinux.org>
Date: Thu, 19 May 2005 15:48:14 +0400
From: Stanislav Ievlev <inger@altlinux.org>
To: ALT Devel discussion list <devel@altlinux.ru>
Subject: Re: [devel] Re: Insecure installer log
Message-ID: <20050519114814.GF1696@basalt.office.altlinux.org>
References: <428B3C95.7010201@vzljot.ru> <20050518170228.6e333139.dfo@antex.ru>
	<428C371E.70006@altlinux.com> <428C53B7.6020707@vzljot.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <428C53B7.6020707@vzljot.ru>
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Devel discussion list <devel@altlinux.ru>
List-Id: ALT Devel discussion list <devel.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/devel>
List-Post: <mailto:devel@altlinux.ru>
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 19 May 2005 11:48:15 -0000
Archived-At: <http://lore.altlinux.org/devel/20050519114814.GF1696@basalt.office.altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Thu, May 19, 2005 at 12:52:07PM +0400, Vitaly Ostanin wrote:
> Anton Farygin пишет:
> >Sergey Pinaev wrote:
> >
> >>On Wed, 18 May 2005 17:01:09 +0400
> >>Vitaly Ostanin <vyt@vzljot.ru> wrote:
> >>
> >>>Есть предложение в установщике не писать пароли пользователей
> >>>открытым текстом в /var/cache/alterator/install3.log.
> >>
> >>и, заодно, слать по почте на rider@
> >
> >Нахрен мне этот спам ? ;-)
> 
> На самом деле не смешно. Удивлюсь, если многие пользователи в
> каждом аккаунте используют разные пароли. Возможность увидеть их
> приаттаченными к bugzilla в виде install3.log как-то не радует.
> Кстати, надо будет посмотреть права доступа к этому файлу в
> установленной системе.
> 
> Этот же файл после выпуска дистрибутива будут спрашивать в
> рассылках при возникновении проблем с установкой. И народ будет
> наивно отсылать...
> 
> <skipped/>
Он всегда перемещался в /root по окончанию установки. Впрочем теперь он
там будет сразу - справедливое замечание.
Ну а что касается паролей, то тут сложный вопрос: звукозаписывающее
устройство, которое генерит этот лог ничего о паролях не знает ибо потом
оно может полностью "проиграть" этот лог в alterator'е заместо
пользователя, как будто бы он сидел за клавиатурой. Наверное потом мы
сделаем какой-нибудь 'чистильщик' паролей для желающих.

> 
> --
> Regards, Vyt
> mailto:  vyt@vzljot.ru
> JID:     vyt@vzljot.ru



> _______________________________________________
> Devel mailing list
> Devel@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/devel