这是一个创建于 3753 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
wy315700 2015 年 10 月 19 日
,果然没人关注,,
|
 |
2
imn1 2015 年 10 月 19 日
2015/10/22 ?
|
 |
3
Cavolo 2015 年 10 月 19 日 via iPhone
1p 泄露又没事,反正数据都加密的
|
 |
4
iShao 2015 年 10 月 19 日 via Android
1password 咋了? 太长
|
 |
5
Vancion 2015 年 10 月 19 日  6
TL;DR
1p 之前使用的储存格式 AgileKeychain 中的 content.js 文件使用明文记录了每一个 login 的 url ,原 po 认为会造成严重隐私问题。例如在某网站重设密码后, 1p 会默认记录下重设密码的 url ,如果网站没有做检查,其他人可以用同样 url 再次重设密码。原 po 认为这是 1p 的锅。 1p 声明当初是基于解密性能的限制才采取以上做法。 1p 在 2012 年底后有了新储存格式 OPVault ,解决了这个问题。原 po 认为第一没有默认使用 OPVault ,第二从 AgileKeychain 转换到 OPVault 太过复杂在 OSX 下要使用命令行。此外 hint 也是明文储存。总结:原 po 对 1p 的做法表示很失望,但还是会继续用。 |
 |
6
243205964 2015 年 10 月 19 日
我想借楼问一下,我的网易邮箱没发现任何异常登录,也开了二次验证,需要改密码吗?
|
 |
7
SkyLanD 2015 年 10 月 19 日
粗略看了下,好像是说数据里的网站整个 URL 是明文的…
|
 |
8
Tink PRO TL;DR
|
 |
9
hhkbp2 2015 年 10 月 19 日
表示关注
|
 |
10
westy 2015 年 10 月 19 日
看了个大概,如果不用 1PasswordAnywhere 其实没事,即便用了,没被人看到 content.js 也没事,即便看了,也就是隐私泄漏(知道你保存的网站之类)。
跟网易那个事情比起来,确实没啥可关注的。 |
 |
11
kiritoalex 2015 年 10 月 19 日
too long do not read
|
 |
12
anthonyeef 2015 年 10 月 20 日
@kiritoalex too long to read 就可以啦。
|
 |
13
hienchu 2015 年 10 月 20 日 via iPhone
这个也还好吧,作者举的几个例子虽言之有理,但有点小题大作,只能说是设计上的一些 trade off 见仁见智罢了
|
 |
14
wm5d8b 2015 年 10 月 20 日 via Android
我感觉现在是 10 月 20 号,我穿越了?
|
 |
15
canautumn 2015 年 10 月 20 日
|
 |
16
sharpnk 2015 年 10 月 20 日
@Vancion 另外这个仅影响 dropbox 用户。如果你使用 icloud 的话,默认的格式就是 OPVault 。
而且最重要的一点是它泄露的仅仅是你保存密码网站的 url ,而不是你的密码。原文的标题其实很不厚道。 |
 |
17
X-Force 2015 年 10 月 20 日
那么,如果转换到 OPVault 之后, Mac 通过 Dropbox 与 Win 、 iOS 、 Android 同步会否受到影响?还是都能正常使用?
|
 |
19
qw7692336 2015 年 10 月 20 日
网易用户多
我就没用 1p |
|
20
kiritoalex 2015 年 10 月 20 日
@anthonyeef 意思不一样,你说的意思是太长以至于不看,我的意思是太长,不想看
|
 |
21
zhujinliang 2015 年 10 月 20 日 via iPhone
对于一个安全著称的软件这样主张确实过份了
|
 |
23
happypy1 2015 年 10 月 20 日
|
|
24
happypy1 2015 年 10 月 20 日
 |
 |
25
lwd2136 2015 年 10 月 20 日
早知道了,除非你 dropbox 破了 然后漏的是你所拥有账户的网站,而非密码。
|
 |
27
aivier 2015 年 10 月 20 日
我确认了一下,默认是 agilekeychain ,目的是移动设备可以使用,至少 Android 客户端是不支持新格式的,这篇文章所说的文件已经不再存在了, DropBox 是两步验证的
|
 |
28
dotpig 2015 年 10 月 20 日
1. 首先,这是一个功能,不是 Bug 。它的作用就是当你没有可用的客户端时,随时都能通过浏览器来查找你的密码;要说泄漏的话,就是泄漏了你保存了哪些网站,前提是他能拿到你的数据库。
2. 如果你有担心,随时可以切换到 OPvault 格式。 OPvault 格式同样支持 Dropbox 同步。 |
|
29
iShao 2015 年 10 月 20 日 via Android
@laughish
从 1p 自家商店买的软件在 Mac 端默认创建数据文件时,文件后缀都是 agilekeychain ,在设置里并没有找到你所说的 OPvault ,这个是怎么设置的? |
 |
30
dreamtrail 2015 年 10 月 20 日
什么系统都可能有漏洞,最重要的秘密还是记在自己脑子里吧
|
|
31
anthonyeef 2015 年 10 月 20 日 via Android
@kiritoalex 2333
|
|
32
dotpig 2015 年 10 月 20 日 1
@iShao 在终端中输入以下命令(在线商店版、非 Mac App Store 版):
defaults write 2BUA8C4S2C.com.agilebits.onepassword4-helper useOPVaultFormatByDefault true 然后,在设置中关闭、重新打开同步。 |
 |
33
mythhack 2015 年 10 月 20 日
beta 版已经修复了这个问题
|
Select Language