Re: [fr-dvorak-bepo] Re: [EGD-discu] Corpux, un générateur de corpus pour linux

[Goulven Guillard <lecotegougdelaforce@xxxxxxx>]

Le 24/07/2013 11:25, Adrien CLERC a écrit :
> Le 24/07/2013 11:23, Goulven Guillard a écrit :
> > Le 24/07/2013 01:59, Sébastien a écrit :
> > > P.-S.: pour les mots de passe, je suppose qu'ils sont mis en clair
> > > dans le fichier. Je me demande si dans X.org ou dans Wayland il y a
> > > possibilité de savoir si c'est un champ de mot de passe (c'est
> > > possible en javascript de savoir si un champ de formulaire d'une page
> > > web est un champ de mot de passe).
> >
> > Les mots de passe sont en clair, oui.
> >
> > Ceci étant tu n'es pas censé partager les fichiers de log, mais
> > seulement les fichiers analysés, dans lesquels toute information sur
> > les mots de passe est a priori perdue (sauf si tu demandes à aller
> > jusqu'à des n-grammes de dix caractères et que tu n'utilises pas le
> > fichier de mots à ignorer, auquel cas tes mots de passe risquent de se
> > retrouver en tête de liste…).
> >
> > Si tu es vraiment parano, tu peux contourner le problème en utilisant
> > aléatoirement une touche sans effet quand tu tapes ton mot de passe,
> > par exemple avec les flèches haut et bas : « pa↑s↓swo↑r↓d » (ces
> > touches sont également enregistrées). Par contre dans ce cas tu ne
> > peux plus utiliser le fichier de mots à ignorer pour l'analyse, ce qui
> > risque de sur-représenter les digrammes de ton mot de passe si tu
> > l'utilises souvent.
>
> Ou bien exécuter un script sed avant analyse et / ou partage. Ou bien
> proposer une option au keylogger pour ne pas enregistrer les mots
> commençant par XXX. Enfin, c'est faisable quoi :)

Bien sûr que c'est faisable. Est-ce souhaitable ? Si tu utilises une 
option pour que le keylogger ignore les mots de passe, ton mot de passe 
est accessible en clair dans l'historique bash/csh/*sh ou dans le script 
avec lequel tu le lances. Idem pour l'analyseur, c'est pourquoi j'ai 
préféré l'option d'un fichier de mots à ignorer : tu crées le fichier au 
moment d'analyser les données, et tu le supprimes juste après (j'ai 
oublié de préciser ça dans la « doc », faut que je le rajoute). On 
pourrait encore améliorer en faisant en sorte que l'analyseur demande à 
rentrer manuellement les mots de passe (mais je me demande si ça ne 
serait pas mal perçu par l'utilisateur).

Après on peut passer le mot de passe encodé au programme, mais là ça 
devient l'usine à gaz, sachant qu'encore une fois ces fichiers ne sont 
pas censés être partagés (tiens, par contre je peux restreindre l'accès 
en lecture, si ça peut en rassurer).

@+

Goulven.


--
Pour vous d�bonner, envoyez un message avec comme objet "unsubscribe"
vers discussions-REQUEST@xxxxxxxxxxx