PPassKeeper, bibliothèque d'abstraction de stockage de données sensibles, passe en bêta 2

Posté par (page perso) . Modéré par Nÿco.
Tags :
9
4
fév.
2010
Sécurité
Après plus d'un an de développement, PPasskeeper arrive en bêta 2. PPassKeeper est une bibliothèque d'abstraction de stockage de mots de passe accessible en C/C++, ligne de commande et Python. Elle est basée sur un système de greffons et est sous licence LGPL v2.

Sa création part du constat que les applications multi plate-formes sauvegardent le plus souvent des données utilisateur sensibles dans des fichiers textes en clair. Cela peut s'expliquer simplement par le fait que ces applications ne peuvent pas se permettre de programmer la prise en charge de chaque système de stockage de mots de passe disponibles. Pour simplifier le travail des programmeurs multi plate-formes et pour augmenter la liberté des utilisateurs de choisir où stocker leurs données, PPassKeeper a vu le jour.

Des paquets sont disponibles pour Linux (ArchLinux, Fedora et Ubuntu) et pour Windows. Des contributions pour les améliorer ou ajouter la prise en charge de nouvelles distributions seraient les bienvenus.

Avec un temps de développement de bientôt 2 ans, PPassKeeper commence à atteindre une certaine maturité dans son développement. Cette version attend vos commentaires à la fois sur l'API, des idées de greffons, sur la façon dont les greffons peuvent être configurés ou sur toute autre chose qui vous intéresserait. PPassKeeper repose sur un système de greffons chargés dynamiquement. Si un greffon ne trouve pas les dépendances nécessaires à son exécution, il ne sera pas chargé et ne sera pas présenté à l'utilisateur. Il est ainsi aisé d'installer/désinstaller des greffons sans se soucier des dépendances.

PPassKeeper est multi plate-formes et a été testé sur Linux, Mac OS X et Windows.

Actuellement, la gestion de KWallet4 et de Gnome-Keyring est fonctionnelle. Il y a aussi des greffons pour demander à l'utilisateur de taper son mot de passe dans une fenêtre en Qt ou GTK.

En projet se trouvent :
  • la prise en charge du Windows's Vault et du Mac OS X's Keychain.
  • La sauvegarde des données sensibles sur un serveur ftp/http pour faire un partage des secrets entre plusieurs ordinateurs.
  • L'importation et exportation du contenu d'un module.
  • Enfin, commencer le travail d'internationalisation.
  • # Très interressant !

    Posté par . Évalué à 2.

    La gestion des mots de passes commence à être plutôt stratégique. On passe ses journées à mettre des mots de passe partout. Celui qui facilitera le boulot des concepteurs comme des utilisateurs aidera grandement l'humanité !

    Mais c'est un sujet un peu délicat, le mot de passe qu'on garde en tête est quand même la solution la plus "secrète". Par exemple je suis friant de Xmarks pour gérer mes bookmarks sur mes différents Firefox (boulot, perso...), mais je n'ai pas envie d'utiliser la fonction de gestion des mots de passe... trop peur !
    • [^] # Re: Très interressant !

      Posté par . Évalué à 2.

      > Celui qui facilitera le boulot des concepteurs comme des utilisateurs aidera grandement l'humanité !

      Il suffit de demander.

      http://www.freedesktop.org/wiki/Specifications/secret-storag(...)

      The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

      • [^] # Re: Très interressant !

        Posté par (page perso) . Évalué à 3.

        Je suis au courant de ça, mais le travail n'avance pas et je trouve l'approche mauvaise. Faire une API D-Bus, c'est fondamentalement pas vraiment multi-plateformes.

        Ici, on a un système de greffons et une bibliothèque qui se charge d'abstraire le stockage des secrets.

        C'est bien mieux, non ?
        • [^] # Re: Très interressant !

          Posté par . Évalué à 2.

          Je n'avais pas fais attention que PPasskeeper utilisait GnomeKeyring et Kwallet.

          Sous GNOME, l'API récente a l'air de faire abstraction de l'interface DBUS. Ça soulage le développement même si, effectivement, DBUS est toujours nécessaire au fonctionnement.

          L'approche de PPasskeeper est plus généraliste, c'est évidemment un plus. Et comme on peut l'attaquer en C, donc avec possibilité de l'utiliser avec des langages générant du C, comme vala, ça semble un bien meilleur choix.

          The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

    • [^] # Re: Très interressant !

      Posté par (page perso) . Évalué à 2.

      Même chose pour Xmarks pour moi, les bookmarks ça va, le reste non.
      Je sais qu'à un moment il était possible d'utiliser un serveur alternatif avec ce greffon. Il suffisait qu'il supporte webdav. Je ne sais pas ce qu'il en est actuellement. J'aimerais bien les stocker sur mon serveur plutôt, mais je ne sais pas si c'est compliqué à mettre en place ou pas.

      Sinon pour PPassKeeper, je ne connaissais pas et ça m'a l'air très intéressant. Faudrait que j'en touche deux mots au développeur principal de gajim quand ce sera ptre moins beta.
      D'ailleurs dans le libre, beta ça veut pas toujours dire grand chose. Ici, ça veut dire quoi ?
      • [^] # Re: Très interressant !

        Posté par (page perso) . Évalué à 2.

        Euh c'est toujours possible avec Xmarks de synchro sur un serveur perso le tout en dav+https+htaccess.

        J'ai cru lire que Weave permet aussi de définir son propre serveur pour la synchro.
      • [^] # Re: Très interressant !

        Posté par (page perso) . Évalué à 2.

        Ici, le beta n'est pas très bien approprié, en fait, ça aurait dû être une alpha. Cependant, j'ai fais l'erreur d'appeler la précédente version beta1, je suis donc obligé de l'appeler beta 2 :s

        C'est de l'alpha car l'API n'est pas vraiment stable et n'est pas complet au niveau des fonctionnalités.

        J'ai besoin d'aide pour vérifier que tout va bien pour pouvoir freezer l'API. Ce gel arrivera avec les versions release candidate.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.