V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
7654
V2EX  ›  分享发现

炸裂, 1Password 的进程通过 127.0.0.1 直接 socket 传输

  •  
  •   7654 · 2016-03-03 15:35:44 +08:00 · 2736 次点击
    这是一个创建于 3186 天前的主题,其中的信息可能已经有所发展或是发生改变。
    13 条回复    2016-03-04 16:19:39 +08:00
    lingaoyi
        1
    lingaoyi  
       2016-03-03 15:36:32 +08:00
    然后昵?????
    huoshanhui
        2
    huoshanhui  
       2016-03-03 15:40:14 +08:00
    来自 1Password 官方:

    “ The connection between 1Password mini and the browser extension is authenticated and secure.”
    7654
        3
    7654  
    OP
       2016-03-03 15:47:52 +08:00
    r#2 @huoshanhui 前文 I ’ m a bit surprised about some of the 1Password responses about how this was already known 后文
    有人或许会说既然已经黑进我电脑能就行 TCP 监听,密码已经不属于我了,真是 navie
    损失一个密码和损失一堆密码可是不同的
    aprikyblue
        4
    aprikyblue  
       2016-03-03 15:48:26 +08:00
    so?p
    SourceMan
        5
    SourceMan  
       2016-03-03 15:52:42 +08:00
    有没人输出下结论
    leavic
        6
    leavic  
       2016-03-03 15:56:56 +08:00
    看了一下, 1password 传送的内容是明文,单明文中用户名和密码还是加密的,顶多泄漏一下你在哪些网站有账号,而且这种监控也要很高的权限才能实现,密码依然是安全的。
    Tink
        7
    Tink  
       2016-03-03 15:58:05 +08:00
    没法破解啊
    Strikeactor
        8
    Strikeactor  
       2016-03-03 16:00:56 +08:00
    能黑进你电脑还有 TCP 监听的权限,直接键盘记录你主密码顺便把你密码库复制走不就好了。。
    7654
        9
    7654  
    OP
       2016-03-03 16:07:09 +08:00
    r#6 @leavic 最近炒得火热的 FBI 与 APPLE ,正是因为 APPLE 安全措施到位, FBI 只能通过政治途径寻求解决方法
    terence4444
        10
    terence4444  
       2016-03-03 16:14:02 +08:00 via iPhone
    @7654 我觉得应该是合法取证的问题
    DaCong
        11
    DaCong  
       2016-03-03 17:42:05 +08:00 via iPhone
    @7654 10 楼正解
    FBI 内部不乏有高手,破解一个 iOS 问题应该不大,但是能否在法庭作为证据使用就是另一个问题了。
    而且 FBI 的要求是在历史上有借鉴意义的,毕竟要求 Apple 解密自家手机在历史上从未有过成功的先例,这可以说是公民的隐私权与政府对抗的过程,而不是技术层面上的破解的简单事(毕竟政治更为复杂)
    leavic
        12
    leavic  
       2016-03-04 09:39:16 +08:00
    @7654 这种比较没有意义,没有主密码的情况下,有人可以破解 1password 的这种“明文”通信吗?这是个技术论坛,我们能不能严肃的探讨技术上的风险。
    canautumn
        13
    canautumn  
       2016-03-04 16:19:39 +08:00
    稍微看一眼 hacker news 下边的讨论(有官方的人详细说明了设计原因)还有他们半年多前就已经在官方博客里详细论证这么设计的原因了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1035 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:57 · PVG 06:57 · LAX 14:57 · JFK 17:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.