Αυτές τις μέρες σίγουρα θα έχετε διαβάσει άρθρα σχετικά με ένα σοβαρό ελάττωμα ασφαλείας στο 1Password, μια από τις καλύτερες εφαρμογές που υπάρχουν για iOS και OS X και ένα από τα αγαπημένα μας για την καλή δουλειά που κάνουν οι προγραμματιστές της, με συνεχείς ενημερώσεις χωρίς κόστος στους χρήστες του. Προσωπικά, στην εφαρμογή εμπιστεύομαι να αποθηκεύω τους κωδικούς πρόσβασης, τα τραπεζικά μου στοιχεία, τις πιστωτικές κάρτες κ.λπ. εδώ και χρόνια, και με νοιάζει τόσο πολύ για την ενημέρωση για αυτό το ελάττωμα ασφαλείας, επειδή με ενδιέφερε πολύ. Όπως συμβαίνει συχνά σε αυτές τις περιπτώσεις, ο απειλητικός και ο εντυπωσιασμός πλημμυρίζουν τον Ιστό (Ας μην ξεχνάμε ότι είναι αυτό που πουλάει περισσότερο) γι 'αυτό θα προσπαθήσω να διευκρινίσω τι έχει συμβεί και ποιες συνέπειες μπορεί να έχει.
το πρόβλημα
Όλα βασίζονται σε μια έκθεση που δημοσιεύτηκε από έναν μηχανικό της Microsoft, Dale Myers, στην οποία το διαβεβαιώνει Το 1Password αποθηκεύει δεδομένα μη κρυπτογραφημένα στο σύστημα κρυπτογράφησης AgileKeychain. Αυτά τα μη κρυπτογραφημένα δεδομένα είναι συγκεκριμένα οι διευθύνσεις ιστού των σελίδων που έχουμε αποθηκεύσει σε αυτήν την υπηρεσία και οι τίτλοι τους, αλλά ποτέ τα ίδια τα δεδομένα πρόσβασης, τα οποία παραμένουν τέλεια κρυπτογραφημένα. Γιατί να διατηρήσετε αυτά τα δεδομένα μη κρυπτογραφημένα; Βασικά επειδή η κρυπτογράφηση τους εκείνη τη στιγμή (μιλάμε για το 2008) προκάλεσε προβλήματα σε ορισμένες συσκευές κατά την πρόσβαση σε αυτά τα δεδομένα και προκάλεσε προβλήματα απόδοσης και μπαταρίας.
Μέχρι στιγμής μπορεί κανείς να σκεφτεί, "Ποιο είναι το πρόβλημα;" Πολλοί χρήστες χρησιμοποιούν το 1PasswordAnywhere, μια λειτουργία που χρησιμοποιεί το Dropbox για την αποθήκευση των κλειδιών 1Password και σας επιτρέπει να έχετε πρόσβαση σε αυτά από οποιοδήποτε πρόγραμμα περιήγησης χωρίς να έχετε εγκαταστήσει την εφαρμογή στη συσκευή. Εδώ ακριβώς βρίσκεται το κύριο πρόβλημα: η Google ευρετηριάζει αυτό το περιεχόμενο όταν είναι αποθηκευμένο σε ένα αρχείο html και κάποιος με τις απαραίτητες γνώσεις μπορεί να έχει πρόσβαση σε αυτό το αρχείο και να γνωρίζει αυτά τα δεδομένα χωρίς κρυπτογράφηση. Επιμένω ξανά, ποτέ τα δεδομένα πρόσβασής σας, μόνο τις διευθύνσεις ιστού και τα ονόματα των ιστών που έχετε αποθηκεύσει στο 1Password, ποτέ τα διαπιστευτήριά σας.
Η λύση
Οι ίδιοι οι προγραμματιστές 1Password έχουν ήδη λύσει αυτό το πρόβλημα το 2012 με έναν νέο τρόπο αποθήκευσης των δεδομένων σας που ονομάζεται OPVault. Αυτό το νέο σύστημα κρυπτογραφεί όλα τα δεδομένα, συμπεριλαμβανομένων εκείνων που δεν κρυπτογραφήθηκαν με το AgileKeychain. Λοιπόν, ποιο είναι το πρόβλημα? Ότι έπρεπε να αποφασίσουν εάν θα χρησιμοποιήσουν το OPVault ως το μοναδικό σύστημα κρυπτογράφησης ή θα συνεχίσουν να χρησιμοποιούν το AgileKeychain ως εναλλακτική λύση. Και επέλεξαν αυτήν τη δεύτερη επιλογή.
Γιατί να διατηρήσετε ένα λιγότερο ασφαλές σύστημα; Το OPVault δεν δημιουργούσε πρόβλημα με τους χρήστες iOS και Mac OS X, αλλά με Windows, χρήστες Android και αυτούς που επέλεξαν το Dropbox ως σύστημα συγχρονισμού δεδομένων. Οι παλαιότερες εκδόσεις 1Password του τελευταίου δεν ήταν συμβατές με το OPVault, οπότε έπρεπε να αποφασίσουν τι να κάνουν: Αφήστε αυτές τις παλιές εκδόσεις ή συνεχίστε να προσφέρετε συμβατότητα σε όλους. Και επέλεξαν αυτήν τη δεύτερη εναλλακτική λύση, διατηρώντας την επιλογή χρήσης του AgileKeychain.
Το πραγματικό μέγεθος του προβλήματος
Το πιο σημαντικό είναι να επιμείνουμε στα δεδομένα στα οποία κάποιος που θα μπορούσε να φτάσει σε αυτό το αρχείο html και να διαβάσει τα δεδομένα σας θα έχει πρόσβαση (που δεν είναι εύκολο): διευθύνσεις ιστού και τίτλοι ιστού. Αυτό είναι όλο. Ναι, είναι αλήθεια ότι κανείς δεν πρέπει να γνωρίζει αυτά τα δεδομένα και ότι είναι λάθος που πρέπει να διορθωθεί, αλλά Δεν χρειάζεται να φοβάστε για τα δεδομένα πρόσβασής σας στους ιστότοπους ή τους αριθμούς της πιστωτικής σας κάρτας, κάτι που είναι ανακουφιστικό.
Μόλις αυτό είναι σαφές, είναι επίσης απαραίτητο να επισημάνουμε ποιοι είναι αυτοί που έχουν αυτό το πρόβλημα: εκείνοι που εξακολουθούν να χρησιμοποιούν το AgileKeychain. Αυτοί οι χρήστες που χρησιμοποιούν ήδη το OPVault δεν έχουν ούτε το παραμικρό πρόβλημα. Ποιοι χρησιμοποιούν το OPVault; Όσοι χρησιμοποιούν το 1Password για iOS και OS X με ενεργοποιημένη την επιλογή συγχρονισμού iCloud (όπως συμβαίνει στην περίπτωσή μου). Εάν αυτό ισχύει και για εσάς, τότε δεν υπάρχει πρόβλημα με εσάς. Εάν είστε χρήστης 1Password σε Windows, Android ή χρησιμοποιείτε το Dropbox ως σύστημα συγχρονισμού, τότε πρέπει να αλλάξετε σε OPVault ως σύστημα αποθήκευσης, το οποίο έχετε εξηγήσει τέλεια στο Ιστολόγιο Agilebits, 1Password προγραμματιστές (στο τέλος του άρθρου).
Υπέροχο άρθρο Luis, έτσι πρέπει να είναι η αυστηρή δημοσιογραφία και ακόμη περισσότερο όταν πρόκειται για ασφάλεια.