炸裂, 1Password 的进程通过 127.0.0.1 直接 socket 传输

2016-03-03 15:35:44 +08:00
 7654
https://medium.com/@rosshosman/1password-sends-your-password-across-the-loopback-interface-in-clear-text-307cefca6389#.t8maw6ti1
2755 次点击
所在节点    分享发现
13 条回复
lingaoyi
2016-03-03 15:36:32 +08:00
然后昵?????
huoshanhui
2016-03-03 15:40:14 +08:00
来自 1Password 官方:

“ The connection between 1Password mini and the browser extension is authenticated and secure.”
7654
2016-03-03 15:47:52 +08:00
r#2 @huoshanhui 前文 I ’ m a bit surprised about some of the 1Password responses about how this was already known 后文
有人或许会说既然已经黑进我电脑能就行 TCP 监听,密码已经不属于我了,真是 navie
损失一个密码和损失一堆密码可是不同的
aprikyblue
2016-03-03 15:48:26 +08:00
so?p
SourceMan
2016-03-03 15:52:42 +08:00
有没人输出下结论
leavic
2016-03-03 15:56:56 +08:00
看了一下, 1password 传送的内容是明文,单明文中用户名和密码还是加密的,顶多泄漏一下你在哪些网站有账号,而且这种监控也要很高的权限才能实现,密码依然是安全的。
Tink
2016-03-03 15:58:05 +08:00
没法破解啊
Strikeactor
2016-03-03 16:00:56 +08:00
能黑进你电脑还有 TCP 监听的权限,直接键盘记录你主密码顺便把你密码库复制走不就好了。。
7654
2016-03-03 16:07:09 +08:00
r#6 @leavic 最近炒得火热的 FBI 与 APPLE ,正是因为 APPLE 安全措施到位, FBI 只能通过政治途径寻求解决方法
terence4444
2016-03-03 16:14:02 +08:00
@7654 我觉得应该是合法取证的问题
DaCong
2016-03-03 17:42:05 +08:00
@7654 10 楼正解
FBI 内部不乏有高手,破解一个 iOS 问题应该不大,但是能否在法庭作为证据使用就是另一个问题了。
而且 FBI 的要求是在历史上有借鉴意义的,毕竟要求 Apple 解密自家手机在历史上从未有过成功的先例,这可以说是公民的隐私权与政府对抗的过程,而不是技术层面上的破解的简单事(毕竟政治更为复杂)
leavic
2016-03-04 09:39:16 +08:00
@7654 这种比较没有意义,没有主密码的情况下,有人可以破解 1password 的这种“明文”通信吗?这是个技术论坛,我们能不能严肃的探讨技术上的风险。
canautumn
2016-03-04 16:19:39 +08:00
稍微看一眼 hacker news 下边的讨论(有官方的人详细说明了设计原因)还有他们半年多前就已经在官方博客里详细论证这么设计的原因了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/260835

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX