Si eres usuario de Pidgin, esto puede que te haga plantear utilizar otro cliente de mensajería instantánea bajo GNU/Linux, ya que por el momento, parece que a los desarrolladores de Pidgin parece no importarles en absoluto que las contraseñas se almacenen en texto plano, considerándolo así mismo como una característica.
Y a los usuarios que han intentado reportar este “fallo” desde 2007 y sugerir algún tipo de cifrado se les ha cerrado el reporte dándoles como respuesta el wiki, donde se les invita a saber que es su forma de almacenarlas, ya que ni lo consideran necesario, ni quieren depender de características específicas de cada entorno gráfico para ofrecer el cifrado.
Si introducimos el siguiente código en una terminal:
cat ~/.purple/accounts.xml | grep "<name>"; cat ~/.purple/accounts.xml | grep "<protocol>"; cat ~/.purple/accounts.xml | grep "<password>"Veremos que se listarán en orden, todas las cuentas que tenemos guardadas, y a continuación la contraseña de cada una de ellas.
Y que tiene esto de importante, si los sistemas GNU/Linux ya impiden que se puedan leer archivos de de otras cuentas de usuario, ¿no?
Pues es tan sencillo, como que un simple software malicioso podría buscar si existe dicho archivo y hacer con esos datos lo que el autor del malware quisiera. A continuación adjunto una prueba de concepto de que es relativamente fácil extraer estos datos (podéis revisar el código, no contiene sorpresas ocultas 
):
1. Descargar: Prueba de conceptop - Pidgin and PasswordPlain.sh
2. Click derecho --> Propiedades --> Pestaña Permisos, y activamos las 3 de Ejecución
3. Doble click y Ejecutar
Y el problema es mayor al ser Pidgin un cliente multiplataforma, lo cual lo hace más vulnerable si cabe en los sistemas operativos de Microsoft (donde yo lo había usado en su formato portable y no volveré a hacerlo de momento), ya que en sistemas libres, normalmente tenemos la carpeta de usuario bloqueada a nuestro acceso únicamente, con lo que otro usuario de la misma máquina no podría leerlo desde su cuenta, y en versiones más recientes ya se permite a los usuarios cifrar sus datos, con lo que aún sería más difícil intentar robar este tipo de información. Algo que desde mi punto de vista, no excusa a los desarrolladores de Pidgin para mantener las claves en texto plano.
Me ha parecido leer en alguna respuesta a los reportes de los usuarios, que puede que para la versión 3.0.0 (o antes) esté disponible la posibilidad de almacenar contraseñas cifradas, algo que estaría bien que aceleraran, ya que, yo por lo menos lo considero más importante que disponer de audio/vídeo chat.
Lo mismo me pasa con el navegador Chrome de Google: al menos bajo Linux, no encripta las claves como sí hace Firefox. Me gusta mucho Chrome, pero no deja de sorprenderme que precisamente Google se olvide de algo tan importante para la seguridad de los usuarios. Un saludo!
Karkamal no tenía ni idea de que hacen lo mismo en Chromium, supongo que con Chrome pasará lo mismo, te importaría indicar en que ruta están las contraseñas en texto plano que tu has detectado en Chromium?
Creo que si vamos mostrando estas cosas los desarrolladores se tomanarán más en serio el cifrarlas de algún modo, ya que sino es bastante arriesgado cara a que muchos usuarios viven muy despreocupados de este tema.
Buen aporte Karkamal, yo tampoco tenía constancia de que Chrome hiciera algo parecido y es muy interesante que los usuarios sepan estas cosas para saber lo que utilizan.
Coincido con Shawe en que yo también uso Pidgin en Windows, a parte de Ubuntu, y la verdad… con cosas así te planteas si cambiar de cliente de mensajería. Shawe, ¿sabes si en Empathy pasa algo parecido?
No tengo ni idea de cuantos programas se ven afectados por esta “feature”, pero estaría bien conocerlos para andar-se con ojo.
Ciertamente pongan la escusa que pongan, dejar las claves en texto plano es una guarrada de la leche… Hay miles de soluciones para evitarlo y no son exageradamente complejas y todas ellas son tan portables como el resto de la aplicación.
Yo siempre evito que ningún programa almacene mis password, auqneu en muchos cassos una vez introducida a saber qué hace con ellas… es lo que me gusta (y me disgusta) del software abierto, que alguien que se interese lo puede saber y avisar, solucionarlo…o otilizarlo en contra de los usarios…