Bu günlerde, iOS ve OS X için var olan en iyi uygulamalardan biri ve geliştiricilerinin onunla yaptığı iyi işler için favorilerimizden biri olan 1Password'deki ciddi bir güvenlik açığı hakkında hiçbir ücret ödemeden sürekli güncellemeler içeren makaleleri mutlaka okuyacaksınız kullanıcılarına. Şahsen, şifrelerimi, banka bilgilerimi, kredi kartlarımı vb. Saklamak için güvendiğim uygulamada. Yıllardır bu güvenlik açığı hakkında kendimi bilgilendirmeyi çok önemsiyorum çünkü çok ilgiliydim. Bu durumlarda sık sık olduğu gibi, korkutuculuk ve sansasyonellik web'i doldurur. (En çok satan şeyin bu olduğunu unutmayalım) bu yüzden ne olduğunu ve bunun ne gibi sonuçları olabileceğini açıklamaya çalışacağım.
sorun
Her şey, bir Microsoft mühendisi olan Dale Myers tarafından yayınlanan bir rapora dayanmaktadır ve bu raporda 1Password, AgileKeychain şifreleme sisteminde şifrelenmemiş verileri kaydeder. Bu şifrelenmemiş veriler, özellikle bu hizmete kaydettiğimiz sayfaların web adresleri ve başlıklarıdır, ancak hiçbir zaman mükemmel şifrelenmiş olarak kalan erişim verilerimizin kendisi değildir. Bu verileri neden şifresiz tutalım? Temel olarak, onları o sırada şifrelemek (2008'den bahsediyoruz), bu verilere erişirken bazı cihazlarda sorunlara neden oldu ve performans ve pil sorunlarına neden oldu.
Şimdiye kadar biri "Sorun nedir?" Diye düşünebilir. Birçok kullanıcı, Dropbox'ın 1Password anahtarlarınızı saklamak için kullandığı bir işlev olan 1PasswordAnywhere'i kullanır ve uygulama cihaza yüklenmeden herhangi bir tarayıcıdan bunlara erişmenize olanak tanır. Esas sorunun tam da burada yattığı yer burasıdır: Google, bir html dosyasında depolandığında bu içeriği dizine ekler ve gerekli bilgiye sahip biri bu dosyaya erişebilir ve bu verileri şifreleme olmadan bilebilir. Tekrar ısrar ediyorum, erişim verileriniz asla, sadece 1Password'de sakladığınız web adresleri ve weblerin adları, asla kimlik bilgileriniz.
çözüm
1Password geliştiricileri, bu sorunu 2012'de OPVault adı verilen yeni bir veri kaydetme yöntemiyle çözdüler.. Bu yeni sistem, AgileKeychain ile şifrelenmemiş olanlar dahil tüm verileri şifreler. Peki sorun nedir? OPVault'u tek şifreleme sistemi olarak mı kullanacaklarına yoksa alternatif olarak AgileKeychain'i kullanmaya devam edip etmeyeceklerine karar vermeleri gerekiyordu. Ve bu ikinci seçeneği tercih ettiler.
Neden daha az güvenli bir sistem sürdürmelisiniz? OPVault, iOS ve Mac OS X kullanıcıları için değil, Windows, Android kullanıcıları ve veri senkronizasyon sistemi olarak Dropbox'ı seçenler için bir sorun teşkil ediyordu. İkincisinin daha eski 1Password sürümleri OPVault ile uyumlu değildi, bu yüzden ne yapacaklarına karar vermeleri gerekiyordu: bu eski sürümleri geride bırakın veya herkese uyumluluk vermeye devam edin. Ve AgileKeychain kullanma seçeneğini koruyarak bu ikinci alternatifi tercih ettiler.
Sorunun gerçek boyutu
En önemli şey, o html dosyasına erişebilen ve verilerinizi okuyabilen birinin erişebileceği (ki bu kolay değildir) verilerde ısrar etmektir: web adresleri ve web başlıkları. Sadece bu. Evet, kimsenin bu verileri bilmesine gerek olmadığı ve düzeltilmesi gereken bir hata olduğu doğrudur, ancak Web sitelerine erişim verilerinizden veya kredi kartı numaralarınızdan korkmanıza gerek yok, bu bir rahatlama..
Bu netleştikten sonra, bu sorunu yaşayanların kimler olduğunu da belirtmek gerekir: AgileKeychain'i hala kullananlar. Halihazırda OPVault kullanan kullanıcıların en ufak bir sorunu da yok. OPVault'u kullananlar kimler? İCloud senkronizasyon seçeneği etkinken iOS ve OS X için 1Password kullananlar (benim durumumda olduğu gibi). Bu da sizin durumunuzsa, o zaman sizin için bir sorun yoktur. Windows, Android'de 1Password kullanıcısıysanız veya Dropbox'ı bir senkronizasyon sistemi olarak kullanıyorsanız, OPVault'a bir depolama sistemi olarak geçmeniz gerekir; Agilebits blogu, 1Password geliştiricileri (makalenin sonunda).
Harika makale Luis, gazetecilik bu kadar titiz olmalı ve güvenlik söz konusu olduğunda daha da çok olmalı.