Как стать автором
Обновить
193.24
ua-hosting.company
Хостинг-провайдер: серверы в NL до 300 Гбит/с

1Password меняет формат файлов по умолчанию для повышения уровня безопасности

Время на прочтение 2 мин
Количество просмотров 18K
image

Менеджер файлов 1Password заявил о смене формата файлов, в которых хранится информация пользователей. Эти действия компания решила предпринять в ответ на пост Дейла Майерса, работника Microsfoft, обнаружившего уязвимость в текущем формате. Так, Майерс изучил файл .agilekeychain, оставляемый 1Password, и обнаружил, что метаданные не зашифрованы, а хранятся практически в открытом виде, plain text. А поскольку 1Password — достаточно популярный менеджер паролей, то данные многих сотен тысяч пользователей могут быть скомпрометированы.

Если кто-либо получает доступ к соответствующему файлу, то этот человек без проблем может получить информацию о сайтах, на которых пользователь недавно логинился. Есть также возможность получить данные о банковском аккаунте пользователя, и узнать, какого рода лицензии на ПО были приобретены. Вся эта информация позволяет обратиться в банк от имени пользователя, плюс злоумышленник может сбросить все пароли. Плюс ко всему, Google индексирует keychain-ы пользователей, обеспечивающих простой доступ к различным сайтам.

.agilekeychain — это директория, где находится файл 1password.html. Все данные пользователя хранятся в файле 1Password.agilekeychain/data/default/contents.js.

В свою очередь, в компании Agilebits утверждают, что найденный сотрудником Microsoft баг на самом деле «не баг, а фича». Так, разработчики заранее предусмотрели возможность хранения данных в незашифрованном виде, поскольку в этом случае производительность программы повышается. Интересно, что формат .agilekeychain используется разработчиками с 2008 года — тогда гаджеты и ПО были несколько проще, чем сейчас, поэтому для обеспечения производительности своей программы на не самом сильном железе разработчики решили оставить данные в открытом виде.

С тех пор был представлен новый формат, OPVault, который был опциональным. После публикации работника Microsoft, компания решила заменить .agilekeychain на OPVault, оставив последний по умолчанию. Если вы работаете с этим менеджером пароля, то перейти со старого формата файлов на новый можно следующим образом:

Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
+14
Комментарии 20
Комментарии Комментарии 20

Публикации

Информация

Сайт
ua-hosting.company
Дата регистрации
Дата основания
Численность
11–30 человек
Местоположение
Латвия
Представитель
HostingManager