 | 1 wy315700 2015-10-19 20:53:19 +08:00 ,果然没人关注,, |
 | 2 imn1 2015-10-19 20:56:48 +08:00 2015/10/22 ? |
 | 3 Cavolo 2015-10-19 20:57:05 +08:00 via iPhone 1p 泄露又没事,反正数据都加密的 |
 | 4 iShao 2015-10-19 20:57:59 +08:00 via Android 1password 咋了? 太长 |
 | 5 Vancion 2015-10-19 21:09:50 +08:00  6 TL;DR 1p 之前使用的储存格式 AgileKeychain 中的 content.js 文件使用明文记录了每一个 login 的 url ,原 po 认为会造成严重隐私问题。例如在某网站重设密码后, 1p 会默认记录下重设密码的 url ,如果网站没有做检查,其他人可以用同样 url 再次重设密码。原 po 认为这是 1p 的锅。 1p 声明当初是基于解密性能的限制才采取以上做法。 1p 在 2012 年底后有了新储存格式 OPVault ,解决了这个问题。原 po 认为第一没有默认使用 OPVault ,第二从 AgileKeychain 转换到 OPVault 太过复杂在 OSX 下要使用命令行。此外 hint 也是明文储存。总结:原 po 对 1p 的做法表示很失望,但还是会继续用。 |
 | 6 243205964 2015-10-19 21:11:51 +08:00 我想借楼问一下,我的网易邮箱没发现任何异常登录,也开了二次验证,需要改密码吗? |
 | 7 SkyLanD 2015-10-19 21:12:30 +08:00 粗略看了下,好像是说数据里的网站整个 URL 是明文的… |
 | 8 Tink PRO TL;DR |
 | 9 hhkbp2 2015-10-19 21:17:43 +08:00 表示关注 |
 | 10 westy 2015-10-19 21:17:55 +08:00 看了个大概,如果不用 1PasswordAnywhere 其实没事,即便用了,没被人看到 content.js 也没事,即便看了,也就是隐私泄漏(知道你保存的网站之类)。 跟网易那个事情比起来,确实没啥可关注的。 |
 | 11 kiritoalex 2015-10-19 23:57:05 +08:00 too long do not read |
 | 12 anthonyeef 2015-10-20 00:00:50 +08:00 @kiritoalex too long to read 就可以啦。 |
 | 13 hienchu 2015-10-20 00:14:25 +08:00 via iPhone 这个也还好吧,作者举的几个例子虽言之有理,但有点小题大作,只能说是设计上的一些 trade off 见仁见智罢了 |
 | 14 wm5d8b 2015-10-20 00:38:42 +08:00 via Android 我感觉现在是 10 月 20 号,我穿越了? |
 | 16 sharpnk 2015-10-20 02:36:05 +08:00 @Vancion 另外这个仅影响 dropbox 用户。如果你使用 icloud 的话,默认的格式就是 OPVault 。 而且最重要的一点是它泄露的仅仅是你保存密码网站的 url ,而不是你的密码。原文的标题其实很不厚道。 |
 | 17 X-Force 2015-10-20 02:45:21 +08:00 那么,如果转换到 OPVault 之后, Mac 通过 Dropbox 与 Win 、 iOS 、 Android 同步会否受到影响?还是都能正常使用? |
 | 19 qw7692336 2015-10-20 03:47:56 +08:00 网易用户多 我就没用 1p |
| 20 kiritoalex 2015-10-20 07:24:38 +08:00 @anthonyeef 意思不一样,你说的意思是太长以至于不看,我的意思是太长,不想看 |
 | 21 zhujinliang 2015-10-20 07:48:24 +08:00 via iPhone 对于一个安全著称的软件这样主张确实过份了 |
| 22 iShao 2015-10-20 08:11:30 +08:00 via Android |
 | 23 happypy1 2015-10-20 08:40:46 +08:00 |
| 24 happypy1 2015-10-20 08:41:22 +08:00  |
 | 25 lwd2136 2015-10-20 08:44:19 +08:00 早知道了,除非你 dropbox 破了 然后漏的是你所拥有账户的网站,而非密码。 |
 | 26 laughish 2015-10-20 09:52:09 +08:00 via Android @iShao 什么意思?可以手动更换为 opvault 格式,而且据说 iCloud 同步默认就是这格式 |
 | 27 aivier 2015-10-20 10:03:00 +08:00 我确认了一下,默认是 agilekeychain ,目的是移动设备可以使用,至少 Android 客户端是不支持新格式的,这篇文章所说的文件已经不再存在了, DropBox 是两步验证的 |
 | 28 dotpig 2015-10-20 10:34:56 +08:00 1. 首先,这是一个功能,不是 Bug 。它的作用就是当你没有可用的客户端时,随时都能通过浏览器来查找你的密码;要说泄漏的话,就是泄漏了你保存了哪些网站,前提是他能拿到你的数据库。 2. 如果你有担心,随时可以切换到 OPvault 格式。 OPvault 格式同样支持 Dropbox 同步。 |
| 29 iShao 2015-10-20 11:01:40 +08:00 via Android @laughish 从 1p 自家商店买的软件在 Mac 端默认创建数据文件时,文件后缀都是 agilekeychain ,在设置里并没有找到你所说的 OPvault ,这个是怎么设置的? |
 | 30 dreamtrail 2015-10-20 11:04:20 +08:00 什么系统都可能有漏洞,最重要的秘密还是记在自己脑子里吧 |
| 31 anthonyeef 2015-10-20 11:14:42 +08:00 via Android @kiritoalex 2333 |
| 32 dotpig 2015-10-20 11:16:32 +08:00 1 @iShao 在终端中输入以下命令(在线商店版、非 Mac App Store 版): defaults write 2BUA8C4S2C.com.agilebits.onepassword4-helper useOPVaultFormatByDefault true 然后,在设置中关闭、重新打开同步。 |
 | 33 mythhack 2015-10-20 11:20:30 +08:00 beta 版已经修复了这个问题 |
Select Language