Noch vor einigen Jahren, als es nur die werbeverseuchen Messenger gab, Miranda (wie auch heute noch) unbedienbar war und GAIM (heute Pidgin) noch ein Nischendasein fristete, nutzte ich Trillian als Multimessenger unter Windows. Sogar ganz legal gekauft und so.

Ich weiss nicht, wo ich es heute gelesen habe, aber da kam der Trillian Web auf und ich wurde neugierig. Ich versuche ja seit ca. einem Jahr, alle Tätigkeiten in den Browser zu verlegen und ein Browser-Multi-Plattform-Messenger fehlt in der Sammlung noch. Trillian Web kommt also völlig gelegen. Leider war meine Euphorie nach 2 Minuten vollständig zerstört.

Zum Einen war da die Registrierung. Meine Passwörter beinhalten häufig auch mal Sonderzeichen und in diesem Generierten war ein „+“ vorhanden. Die Registrierung selbst lief halbwegs problemlos, außer dass ich mind. 6 Zeichen beim Usernamen für total bescheuert halte. Nur der Login funktionierte selbst nach der Mailbestätigung nicht. Hä? Irgendwas kaputt?

Also hab ich direkt das Passwort angefordert. Ich bekam eine Mail mit einem Code, den ich auf der Webseite eingeben musste, ebenso wie die Sicherheitsfrage. Und dann kam der Kracher: Mir wurde mein Passwort im Klartext angezeigt und die Sonderzeichen wurden durch „%20“, also das URL-Encodete Leerzeichen, ersetzt. WTF?

Trillian speichert die Passworte im Klartext? Geht’s noch? Ich verstehe schon, dass für die Messenger wie ICQ oder Jabber die Passworte gespeichert werden müssen, aber der Login für das Portal muss nun wahrlich nicht sein. Da reicht eine Hashgenerierung mit Salt völlig aus.

Und jetzt ratet mal, was man bei Trillian Web nicht machen kann? Das Passwort ändern und Löschen des Accounts sind nicht möglich. Beim Entfernen eines Messenger-Accounts werden auch die Kontakte nicht aus der Liste gelöscht.

Wenn es um Source-Code ginge, würde ich jetzt Trillian Web in WTFs per Minute bewerten: