V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zzd1000
V2EX  ›  程序员

看你们都在讨论网易,这件事怎么没人关注

  •  
  •   zzd1000 · 2015-10-19 20:39:20 +08:00 · 6940 次点击
    这是一个创建于 3307 天前的主题,其中的信息可能已经有所发展或是发生改变。
    33 条回复    2015-10-20 11:20:30 +08:00
    wy315700
        1
    wy315700  
       2015-10-19 20:53:19 +08:00
    ,果然没人关注,,
    imn1
        2
    imn1  
       2015-10-19 20:56:48 +08:00
    2015/10/22 ?
    Cavolo
        3
    Cavolo  
       2015-10-19 20:57:05 +08:00 via iPhone
    1p 泄露又没事,反正数据都加密的
    iShao
        4
    iShao  
       2015-10-19 20:57:59 +08:00 via Android
    1password 咋了? 太长
    Vancion
        5
    Vancion  
       2015-10-19 21:09:50 +08:00   ❤️ 6
    TL;DR
    1p 之前使用的储存格式 AgileKeychain 中的 content.js 文件使用明文记录了每一个 login 的 url ,原 po 认为会造成严重隐私问题。例如在某网站重设密码后, 1p 会默认记录下重设密码的 url ,如果网站没有做检查,其他人可以用同样 url 再次重设密码。原 po 认为这是 1p 的锅。 1p 声明当初是基于解密性能的限制才采取以上做法。 1p 在 2012 年底后有了新储存格式 OPVault ,解决了这个问题。原 po 认为第一没有默认使用 OPVault ,第二从 AgileKeychain 转换到 OPVault 太过复杂在 OSX 下要使用命令行。此外 hint 也是明文储存。总结:原 po 对 1p 的做法表示很失望,但还是会继续用。
    243205964
        6
    243205964  
       2015-10-19 21:11:51 +08:00
    我想借楼问一下,我的网易邮箱没发现任何异常登录,也开了二次验证,需要改密码吗?
    SkyLanD
        7
    SkyLanD  
       2015-10-19 21:12:30 +08:00
    粗略看了下,好像是说数据里的网站整个 URL 是明文的…
    Tink
        8
    Tink  
       2015-10-19 21:15:36 +08:00
    TL;DR
    hhkbp2
        9
    hhkbp2  
       2015-10-19 21:17:43 +08:00
    表示关注
    westy
        10
    westy  
       2015-10-19 21:17:55 +08:00
    看了个大概,如果不用 1PasswordAnywhere 其实没事,即便用了,没被人看到 content.js 也没事,即便看了,也就是隐私泄漏(知道你保存的网站之类)。

    跟网易那个事情比起来,确实没啥可关注的。
    kiritoalex
        11
    kiritoalex  
       2015-10-19 23:57:05 +08:00
    too long do not read
    anthonyeef
        12
    anthonyeef  
       2015-10-20 00:00:50 +08:00
    @kiritoalex too long to read 就可以啦。
    hienchu
        13
    hienchu  
       2015-10-20 00:14:25 +08:00 via iPhone
    这个也还好吧,作者举的几个例子虽言之有理,但有点小题大作,只能说是设计上的一些 trade off 见仁见智罢了
    wm5d8b
        14
    wm5d8b  
       2015-10-20 00:38:42 +08:00 via Android
    我感觉现在是 10 月 20 号,我穿越了?
    canautumn
        15
    canautumn  
       2015-10-20 02:28:55 +08:00
    sharpnk
        16
    sharpnk  
       2015-10-20 02:36:05 +08:00
    @Vancion 另外这个仅影响 dropbox 用户。如果你使用 icloud 的话,默认的格式就是 OPVault 。

    而且最重要的一点是它泄露的仅仅是你保存密码网站的 url ,而不是你的密码。原文的标题其实很不厚道。
    X-Force
        17
    X-Force  
       2015-10-20 02:45:21 +08:00
    那么,如果转换到 OPVault 之后, Mac 通过 Dropbox 与 Win 、 iOS 、 Android 同步会否受到影响?还是都能正常使用?
    laughish
        18
    laughish  
       2015-10-20 02:55:50 +08:00 via Android
    @X-Force Android app 不支持 opvault
    qw7692336
        19
    qw7692336  
       2015-10-20 03:47:56 +08:00
    网易用户多
    我就没用 1p
    kiritoalex
        20
    kiritoalex  
       2015-10-20 07:24:38 +08:00
    @anthonyeef 意思不一样,你说的意思是太长以至于不看,我的意思是太长,不想看
    zhujinliang
        21
    zhujinliang  
       2015-10-20 07:48:24 +08:00 via iPhone
    对于一个安全著称的软件这样主张确实过份了
    iShao
        22
    iShao  
       2015-10-20 08:11:30 +08:00 via Android
    @X-Force
    @laughish
    自家商店里买的都是 keychain 文件同步吧,想换存储格式也不行
    happypy1
        23
    happypy1  
       2015-10-20 08:40:46 +08:00
    难道没有人吐嘈这篇文章的发布时间吗?

    http://imgur.com/bQQUju9
    happypy1
        24
    happypy1  
       2015-10-20 08:41:22 +08:00
    lwd2136
        25
    lwd2136  
       2015-10-20 08:44:19 +08:00
    早知道了,除非你 dropbox 破了 然后漏的是你所拥有账户的网站,而非密码。
    laughish
        26
    laughish  
       2015-10-20 09:52:09 +08:00 via Android
    @iShao 什么意思?可以手动更换为 opvault 格式,而且据说 iCloud 同步默认就是这格式
    aivier
        27
    aivier  
       2015-10-20 10:03:00 +08:00
    我确认了一下,默认是 agilekeychain ,目的是移动设备可以使用,至少 Android 客户端是不支持新格式的,这篇文章所说的文件已经不再存在了, DropBox 是两步验证的
    dotpig
        28
    dotpig  
       2015-10-20 10:34:56 +08:00
    1. 首先,这是一个功能,不是 Bug 。它的作用就是当你没有可用的客户端时,随时都能通过浏览器来查找你的密码;要说泄漏的话,就是泄漏了你保存了哪些网站,前提是他能拿到你的数据库。
    2. 如果你有担心,随时可以切换到 OPvault 格式。 OPvault 格式同样支持 Dropbox 同步。
    iShao
        29
    iShao  
       2015-10-20 11:01:40 +08:00 via Android
    @laughish
    从 1p 自家商店买的软件在 Mac 端默认创建数据文件时,文件后缀都是 agilekeychain ,在设置里并没有找到你所说的 OPvault ,这个是怎么设置的?
    dreamtrail
        30
    dreamtrail  
       2015-10-20 11:04:20 +08:00
    什么系统都可能有漏洞,最重要的秘密还是记在自己脑子里吧
    anthonyeef
        31
    anthonyeef  
       2015-10-20 11:14:42 +08:00 via Android
    dotpig
        32
    dotpig  
       2015-10-20 11:16:32 +08:00   ❤️ 1
    @iShao 在终端中输入以下命令(在线商店版、非 Mac App Store 版):
    defaults write 2BUA8C4S2C.com.agilebits.onepassword4-helper useOPVaultFormatByDefault true
    然后,在设置中关闭、重新打开同步。
    mythhack
        33
    mythhack  
       2015-10-20 11:20:30 +08:00
    beta 版已经修复了这个问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5276 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 05:53 · PVG 13:53 · LAX 21:53 · JFK 00:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.