steghide befindet sich in den Ubuntu Sourcen und kann mit apt installiert werden:

sudo aptitude install steghide

Nun kann die Datei die man verstecken möchte (geheim.txt) in ein Bild (img_23.jpg) geschrieben werden. Man muss dazu ein Passwort angeben.

steghide embed --embedfile geheim.txt --coverfile img_23.jpg
Enter passphrase:
Re-Enter passphrase:
embedding "geheim.txt" in "img_23.jpg"... done

später kann aus dem Bild, nach Eingabe des Passwortes die Datei wieder extrahiert werden.

steghide extract --stegofile img_23.jpg
Enter passphrase:
wrote extracted data to "geheim.txt".

Diese Art in einer Desktop- oder mobilen Applikation auf eine Webapplikation zuzugreifen bietet viele Vorteile, welche dem Nachteil, nämlich den etwas komplizierteren ersten Anmeldevorgang, leicht vergessen läßt. Gibt man seinen Usernamen und Passwort für ein Service aus der Hand, so verliert man die Kontrolle darüber. Wenn jemand auf diese Daten Zugriff erhält und missbräuchlich verwendet, so hilft oft auch ein Passwortwechsel nichts. Ändern man nämlich sein Passwort und ein anderer versucht sich noch mit dem alten und mittlerweile falschen Passwort anzumelden, so kann es leicht passieren, dass der Account aufgrund zu vieler fehlgeschlagenen Anmeldeversuche gesperrt wird.

Dies kann natürlich nicht passieren, wenn man seinen Usernamen und sein Passwort nicht aus der Hand gibt und mittels OAuth nur die Berechtigung erteilt, dass eine andere Anwendung auf die eigenen Daten/Services zugreifen darf. Wird jetzt z.B: ein Telefon mit einem Twitter-Client gestohlen, so kann man nun jederzeit über das Webinterface von Twitter die Berechtigung für diesen Client entziehen und das Twittern über das Telefon mit seinen eigenen Account ist nicht mehr möglich.

Hier ein paar Beispiele von Services und Applikationen, welche diese Art von Schnittstellen nutzen:

• RememberTheMilk – Online ToDo-Manager
  • Tasque – Desktop ToDo-Manager
  • Astrid – ToDo-Manager für das Android-Telefon
• Google Kalender/Kontakte/Tasks
  • Scheduleworld – Online Kontakt/Kalendar/Email-Verwaltung und bietet auch die Möglichkeit sein Handy via SyncML zu synchronisieren
  • Goosync – SyncML Synchronisation zwischen Google Kontakte/Kalender/Tasks und Handys
• Facebook
  • Gwibber – Linux Microblogging Client
  • Babbler – Facebook Client für das Android-Telefon
• Ubuntu One
  • Ubuntu One Client
• Qype
  • Qype Radar – Qype Client für das Android-Telefon

Zur Zeit bietet status.net (früher laconi.ca) und damit auch identi.ca noch keine Unterstützung für OAuth. Aber im Ticketsystem von status.net gibt es bereits ein Ticket für diesen Feature Request und soll für die Version 0.9 von status.net geplant sein.
Ebenfalls unterstützt der Microblogging Client Gwibber selbst in der neuesten Version 2.0 noch kein OAuth für Twitter. Aber auch hier gibt es schon einen Bugreport, welcher sich mit diesen Thema beschäftigt.

Leider verwendet HTC in seiner selbst geschriebenen Oberfläche Sense UI für die Verbindung mit Twitter, Facebook und Flickr auch nur die Username/Passwort-Methode. Ist wohl mehr als fraglich, ob hier HTC nachbessert und die Sicherheit für das Telefon mit einer anderen Autorisierungsmethode erhöht.

Wer kennt von euch Webapplikationen welche für die Autorisierung OAuth anbieten bzw. wer kennt Desktop- oder mobile Applikationen, welche OAuth für die Anmeldung unterstützen?

Update am 3.11.2009:
Bei heise.de gibt es einen detailierten Artikel zum Thema Autorisierungsdienste mit OAuth

1. Datei kopieren mit dem selben Namen aber neue Endung (.bkp).

   cp datei{,.bkp}
   
   ls datei*
   datei  datei.bkp
   

2. FTP Passwort vergessen? Aber es befindet sich noch in einem Programm wie gftp? Dann kann ngrep helfen. Zuerst ngrep auf das Netzwerkdevice lauschen lassen, wie das lautet kann aus ifconfig ausgelesen werden und den FTP Port angeben. Danach kann man sich mit dem Server verbinden und sieht den Login im Klartext vorbeihuschen.

   sudo ngrep -d eth1 port 21
   
   interface: eth1 (192.168.1.0/255.255.255.0)
   filter: (ip or ip6) and ( port 21 )
   #
   T 912.103.134.87:21 -> 192.168.1.4:41085 [AP]
     220 ProFTPD 1.3.0 Server (Debian) [::ffef:912.103.134.87]..
   ##
   T 192.168.1.4:41085 -> 912.103.134.87:21 [AP]
     USER benutzerin..
   ##
   T 912.103.134.87:21 -> 192.168.1.4:41085 [AP]
     331 Password required for benutzerin...
   ##
   T 192.168.1.4:41085 -> 912.103.134.87:21 [AP]
     PASS supergeheim23..
   

   Wie wir hier sehen, ist das Passwort des Benuzters “benutzerin” “supergeheim23″.

3. Vier Zeilen einer Datei, hier von /etc/passwd per Zufall auslesen.

   shuf /etc/passwd -n 4

4. Das Ziel eines Symlinks (ln) abkürzen mit einem Punkt.
   Wenn das Ziel eines Symlinks (ln) sich im gerade aktuellen Ordner befindet und der Dateiname der selbe sein soll, braucht es keinen Dateinamen.

   ln -s config/database.yml
   
   ls -al database.yml
   lrwxrwxrwx 1 user user 19 2009-07-31 22:52 database.yml -> config/database.yml
   

5. Wer so wie ich die Programme “dig” oder “host” unter Ubuntu sucht der findet sie im Paket dnsutils.

   aptitude install dnsutils

6. Mit der Konsolenversion von HandBrake, ein Video in ein ipodtaugliches Video konvertieren.

   HandBrakeCLI -i video.avi -o video_ipod.mp4 -e x264b13  \
   -b 700 -R 44100 -B 128 -2 -w 320

Diese wirklich revolutionäre Technologie gibt es bereits für 32 und 64bit Desktop-Varianten von Jaunty, an einer Servervariante werde gerade gearbeitet, und 100% uptime scheinen möglich zu werden. Das uptrack-*.deb Paket integriert sich nach der Installation nahtlos ins System, und übernimmt viele Aufgaben des update-managers und auch von apt-get. Laut Ksplice’s Uptrack-FAQ läuft das auch alles bestens unter VMs wie z.B. VMware, Xen, Virtuozzo, am Host- wie am Guestsystem.

Ksplice Uptrack: 100% uptime bald möglich?