能否保护剪贴板里的数据?

2019-10-27 20:46:55 +08:00
 ttgo

复制密码的时候,感觉很不安全啊。

剪贴板的访问权限是否可控呢??

比如禁止某些程序访问剪贴板,只可以通过 cmd+v 组合键粘贴进来。

6381 次点击
所在节点    Apple
27 条回复
skies457
2019-10-28 17:38:38 +08:00
@n1dragon #20
读内存需要 root 权限吧
Leonard
2019-10-28 17:54:37 +08:00
苹果全家桶的话直接 iCloud 钥匙串就行了,不用复制直接自动填充了,完美规避这个问题
n1dragon
2019-10-29 04:18:26 +08:00
@skies457 对 1password 来说不需要,研究人员用未提权的程序直接读出了主密码、secret key、以及所有储存的密码,即使 1password 已经 lock

简而言之,1password 就是一个玩具。
skies457
2019-10-29 20:23:58 +08:00
@n1dragon #23
未提权的程序不可能读到别的程序的内存,除非系统有漏洞
n1dragon
2019-10-29 21:07:24 +08:00
@skies457 可以读取的 研究人员甚至做出了 proof of concept

As stated before, all secrets are exposed by 1Password7 when in an unlocked and locked state. To demonstrate the severity of this issue we created proof of concept code to read 1Password7’s memory address space to extract these items. The proof of concept applications ran in the existing user context (which was an ordinary non-administrative user).

原文见此: https://www.ise.io/casestudies/password-manager-hacking/
skies457
2019-10-29 22:04:00 +08:00
@n1dragon #25

https://support.1password.com/kb/201902a/

> The report describes a specific and unlikely attack. An attacker must be able to read memory when 1Password for Windows is locked without being able to read it when it is unlocked. If someone has this level of access to your computer, there are many simpler ways they can steal secrets.
n1dragon
2019-10-30 04:22:35 +08:00
@skies457 当 1p 解锁的时候当然更能读取,这里他们只是狡辩说攻击只针对锁定后的程序,其实不然。

报告已经明确说了可以非提权读取,官方也没有否认。我自己也能通过非管理员状态下的 process explorer 直接看到密码。

之所以 1p 无法清除内存有两方面原因,一是他们用的 c#语言没有直接管理内存的机制,导致只要读取了就没办法直接释放。二是 1p 的索引功能需要解密所有数据,包括密码本身,如果只解密用户看到的数据会影响软件功能。所以至始至终他们都在轻描淡写,不正视问题。

目前在 windows 平台上,同一用户账户下运行的任何程序在技术上都能读取 1p 里面的所有密码,包括主密码、secret key,即使用户锁定 1p 也没有用。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/613455

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX