Re: [fr-dvorak-bepo] Re: [EGD-discu] Corpux, un générateur de corpus pour linux

[ Thread Index | Date Index | More ergodis.org/discussions Archives ]


Le 24/07/2013 11:25, Adrien CLERC a écrit :
Le 24/07/2013 11:23, Goulven Guillard a écrit :
Le 24/07/2013 01:59, Sébastien a écrit :
P.-S.: pour les mots de passe, je suppose qu'ils sont mis en clair
dans le fichier. Je me demande si dans X.org ou dans Wayland il y a
possibilité de savoir si c'est un champ de mot de passe (c'est
possible en javascript de savoir si un champ de formulaire d'une page
web est un champ de mot de passe).

Les mots de passe sont en clair, oui.

Ceci étant tu n'es pas censé partager les fichiers de log, mais
seulement les fichiers analysés, dans lesquels toute information sur
les mots de passe est a priori perdue (sauf si tu demandes à aller
jusqu'à des n-grammes de dix caractères et que tu n'utilises pas le
fichier de mots à ignorer, auquel cas tes mots de passe risquent de se
retrouver en tête de liste…).

Si tu es vraiment parano, tu peux contourner le problème en utilisant
aléatoirement une touche sans effet quand tu tapes ton mot de passe,
par exemple avec les flèches haut et bas : « pa↑s↓swo↑r↓d » (ces
touches sont également enregistrées). Par contre dans ce cas tu ne
peux plus utiliser le fichier de mots à ignorer pour l'analyse, ce qui
risque de sur-représenter les digrammes de ton mot de passe si tu
l'utilises souvent.

Ou bien exécuter un script sed avant analyse et / ou partage. Ou bien
proposer une option au keylogger pour ne pas enregistrer les mots
commençant par XXX. Enfin, c'est faisable quoi :)

Bien sûr que c'est faisable. Est-ce souhaitable ? Si tu utilises une option pour que le keylogger ignore les mots de passe, ton mot de passe est accessible en clair dans l'historique bash/csh/*sh ou dans le script avec lequel tu le lances. Idem pour l'analyseur, c'est pourquoi j'ai préféré l'option d'un fichier de mots à ignorer : tu crées le fichier au moment d'analyser les données, et tu le supprimes juste après (j'ai oublié de préciser ça dans la « doc », faut que je le rajoute). On pourrait encore améliorer en faisant en sorte que l'analyseur demande à rentrer manuellement les mots de passe (mais je me demande si ça ne serait pas mal perçu par l'utilisateur).

Après on peut passer le mot de passe encodé au programme, mais là ça devient l'usine à gaz, sachant qu'encore une fois ces fichiers ne sont pas censés être partagés (tiens, par contre je peux restreindre l'accès en lecture, si ça peut en rassurer).

@+

Goulven.


--
Pour vous d�bonner, envoyez un message avec comme objet "unsubscribe"
vers discussions-REQUEST@xxxxxxxxxxx


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/