炸裂， 1Password 的进程通过 127.0.0.1 直接 socket 传输

然后昵？？？？？

来自 1Password 官方：

“ The connection between 1Password mini and the browser extension is authenticated and secure.”

r#2 @huoshanhui 前文 I ’ m a bit surprised about some of the 1Password responses about how this was already known 后文
有人或许会说既然已经黑进我电脑能就行 TCP 监听，密码已经不属于我了，真是 navie
损失一个密码和损失一堆密码可是不同的

so?p

有没人输出下结论

看了一下， 1password 传送的内容是明文，单明文中用户名和密码还是加密的，顶多泄漏一下你在哪些网站有账号，而且这种监控也要很高的权限才能实现，密码依然是安全的。

没法破解啊

能黑进你电脑还有 TCP 监听的权限，直接键盘记录你主密码顺便把你密码库复制走不就好了。。

r#6 @leavic 最近炒得火热的 FBI 与 APPLE ，正是因为 APPLE 安全措施到位， FBI 只能通过政治途径寻求解决方法

@7654 我觉得应该是合法取证的问题

@7654 10 楼正解
FBI 内部不乏有高手，破解一个 iOS 问题应该不大，但是能否在法庭作为证据使用就是另一个问题了。
而且 FBI 的要求是在历史上有借鉴意义的，毕竟要求 Apple 解密自家手机在历史上从未有过成功的先例，这可以说是公民的隐私权与政府对抗的过程，而不是技术层面上的破解的简单事（毕竟政治更为复杂）

@7654 这种比较没有意义，没有主密码的情况下，有人可以破解 1password 的这种“明文”通信吗？这是个技术论坛，我们能不能严肃的探讨技术上的风险。

稍微看一眼 hacker news 下边的讨论（有官方的人详细说明了设计原因）还有他们半年多前就已经在官方博客里详细论证这么设计的原因了。