1
wy315700 2015-10-19 20:53:19 +08:00
,果然没人关注,,
|
2
imn1 2015-10-19 20:56:48 +08:00
2015/10/22 ?
|
3
Cavolo 2015-10-19 20:57:05 +08:00 via iPhone
1p 泄露又没事,反正数据都加密的
|
4
iShao 2015-10-19 20:57:59 +08:00 via Android
1password 咋了? 太长
|
5
Vancion 2015-10-19 21:09:50 +08:00 6
TL;DR
1p 之前使用的储存格式 AgileKeychain 中的 content.js 文件使用明文记录了每一个 login 的 url ,原 po 认为会造成严重隐私问题。例如在某网站重设密码后, 1p 会默认记录下重设密码的 url ,如果网站没有做检查,其他人可以用同样 url 再次重设密码。原 po 认为这是 1p 的锅。 1p 声明当初是基于解密性能的限制才采取以上做法。 1p 在 2012 年底后有了新储存格式 OPVault ,解决了这个问题。原 po 认为第一没有默认使用 OPVault ,第二从 AgileKeychain 转换到 OPVault 太过复杂在 OSX 下要使用命令行。此外 hint 也是明文储存。总结:原 po 对 1p 的做法表示很失望,但还是会继续用。 |
6
243205964 2015-10-19 21:11:51 +08:00
我想借楼问一下,我的网易邮箱没发现任何异常登录,也开了二次验证,需要改密码吗?
|
7
SkyLanD 2015-10-19 21:12:30 +08:00
粗略看了下,好像是说数据里的网站整个 URL 是明文的…
|
8
Tink 2015-10-19 21:15:36 +08:00
TL;DR
|
9
hhkbp2 2015-10-19 21:17:43 +08:00
表示关注
|
10
westy 2015-10-19 21:17:55 +08:00
看了个大概,如果不用 1PasswordAnywhere 其实没事,即便用了,没被人看到 content.js 也没事,即便看了,也就是隐私泄漏(知道你保存的网站之类)。
跟网易那个事情比起来,确实没啥可关注的。 |
11
kiritoalex 2015-10-19 23:57:05 +08:00
too long do not read
|
12
anthonyeef 2015-10-20 00:00:50 +08:00
@kiritoalex too long to read 就可以啦。
|
13
hienchu 2015-10-20 00:14:25 +08:00 via iPhone
这个也还好吧,作者举的几个例子虽言之有理,但有点小题大作,只能说是设计上的一些 trade off 见仁见智罢了
|
14
wm5d8b 2015-10-20 00:38:42 +08:00 via Android
我感觉现在是 10 月 20 号,我穿越了?
|
15
canautumn 2015-10-20 02:28:55 +08:00
|
16
sharpnk 2015-10-20 02:36:05 +08:00
@Vancion 另外这个仅影响 dropbox 用户。如果你使用 icloud 的话,默认的格式就是 OPVault 。
而且最重要的一点是它泄露的仅仅是你保存密码网站的 url ,而不是你的密码。原文的标题其实很不厚道。 |
17
X-Force 2015-10-20 02:45:21 +08:00
那么,如果转换到 OPVault 之后, Mac 通过 Dropbox 与 Win 、 iOS 、 Android 同步会否受到影响?还是都能正常使用?
|
19
qw7692336 2015-10-20 03:47:56 +08:00
网易用户多
我就没用 1p |
20
kiritoalex 2015-10-20 07:24:38 +08:00
@anthonyeef 意思不一样,你说的意思是太长以至于不看,我的意思是太长,不想看
|
21
zhujinliang 2015-10-20 07:48:24 +08:00 via iPhone
对于一个安全著称的软件这样主张确实过份了
|
22
iShao 2015-10-20 08:11:30 +08:00 via Android
|
23
happypy1 2015-10-20 08:40:46 +08:00
|
24
happypy1 2015-10-20 08:41:22 +08:00
|
25
lwd2136 2015-10-20 08:44:19 +08:00
早知道了,除非你 dropbox 破了 然后漏的是你所拥有账户的网站,而非密码。
|
26
laughish 2015-10-20 09:52:09 +08:00 via Android
@iShao 什么意思?可以手动更换为 opvault 格式,而且据说 iCloud 同步默认就是这格式
|
27
aivier 2015-10-20 10:03:00 +08:00
我确认了一下,默认是 agilekeychain ,目的是移动设备可以使用,至少 Android 客户端是不支持新格式的,这篇文章所说的文件已经不再存在了, DropBox 是两步验证的
|
28
dotpig 2015-10-20 10:34:56 +08:00
1. 首先,这是一个功能,不是 Bug 。它的作用就是当你没有可用的客户端时,随时都能通过浏览器来查找你的密码;要说泄漏的话,就是泄漏了你保存了哪些网站,前提是他能拿到你的数据库。
2. 如果你有担心,随时可以切换到 OPvault 格式。 OPvault 格式同样支持 Dropbox 同步。 |
29
iShao 2015-10-20 11:01:40 +08:00 via Android
@laughish
从 1p 自家商店买的软件在 Mac 端默认创建数据文件时,文件后缀都是 agilekeychain ,在设置里并没有找到你所说的 OPvault ,这个是怎么设置的? |
30
dreamtrail 2015-10-20 11:04:20 +08:00
什么系统都可能有漏洞,最重要的秘密还是记在自己脑子里吧
|
31
anthonyeef 2015-10-20 11:14:42 +08:00 via Android
@kiritoalex 2333
|
32
dotpig 2015-10-20 11:16:32 +08:00 1
@iShao 在终端中输入以下命令(在线商店版、非 Mac App Store 版):
defaults write 2BUA8C4S2C.com.agilebits.onepassword4-helper useOPVaultFormatByDefault true 然后,在设置中关闭、重新打开同步。 |
33
mythhack 2015-10-20 11:20:30 +08:00
beta 版已经修复了这个问题
|