Új hozzászólás Aktív témák

• #21515 dqdb Topikgazda mexel #21512

  Új Válasz 2013-12-21 12:55:10 #21515

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  dqdb

  Topikgazda

  válasz mexel #21512 üzenetére

  Elméleti okfejtés következik az általam végiggondolt lehetséges megoldásokról. A két szint közül valamelyiknek nekiállok, mert nekem is hiányzik a Wand eléggé, de a mikorra csak annyit tudok mondani, hogy valamikor 2014-ben.

  Egyszerűbb megoldás:
  * ez arra jó, hogy a jelszavakat tároló Login Data fájlban a jelszavak hordozható módon és (a linkelt programmal ellentétben) titkosítva tárolja (vagy egy általános jelszót használ vagy egy általad megadott mesterjelszót)
  * szoftveresen ez úgy nézne ki, hogy a launcher.exe elé kerülne egy launcher3.exe (a linkelt megoldáshoz hasonlóan), amely az általa indított összes Opera példányban API hooking segítségével lecseréli a CryptProtectData és CryptUnprotectData függvényeket saját implementációra (az Opera ezen két függvénnyel végzi a titkosítást most). A módszer leírása egyszerű, a megvalósítása nem, valószínűleg a legtöbb HIPS tulajdonságokkal felszerelt biztonsági szoftver sikítani fog tőle, de biztosan működőképes. Alternatív megoldás az, ha egy külső launcher helyett egy PPAPI plugin készül, és az végzi el a piszkos munkát
  * a módszer hátránya, hogy a jelszavakat a beállításoknál ugyanúgy meg lehet nézni, valamint a mostani beépített jelszókezelőhöz hasonlóan kizárólag a jelszót jegyzi meg (hiszen nem lecserélem a jelszókezelőt, hanem a tudását erősítem meg). A módszer másik hátránya, hogy kizárólag Windowson fog futni

  Bonyolultabb megoldás:
  * ez egy saját bővítményből áll, amely a weboldalakba beépülve felismeri a jelszavas belépéseket, és felajánlja a kitöltést/mentést (mint ez a bővítmény)
  * azonban azzal a bővítménnyel ellentétben nem local storage-ben tárolja a dolgokat, hanem egy PPAPI bővítményen keresztül külön fájlban az Opera profilban általános vagy mesterjelszóval védett módon (megfelelő dokumentáció hiányában nem lehet a wand.dat formátumát használni)
  * a módszer előnye, hogy a beépített jelszókezelőt megkerüli, így annak a gyengeségeit (megjeleníthető jelszavak, nem minden oldalon működik, kizárólag a felhasználónév-jelszó páros tárolása) ki tudja küszöbölni, valamint nem hackelésszerű megoldással operál
  * a módszer hátránya, hogy rengeteg idő megírni tényleg jóra, olyan helyeken, ahol nem fut le a content script, nem fog működni (például más bővítmények felületén)

  LonGleY: Miért, az összes többié "ismert"?
  A Keepass, a hozzá kapcsolódó Chrome bővítmény open source, így ez a megoldás ismert, és ajánlható*. A Password Safe is open source, így az is ismert, és ajánlható*

  A LastPass szerintem akkor lenne ajánlható, ha készülne hozzá értékelhető szintű és minőségű dokumentáció (a mostani hablatyolás helyett), amiből kiderül, hogy tényleg elvárható módon működik, vagy lenne lehetőség saját, helyben futtatott LastPass szerver használatára (amire nincsen). Mielőtt még elindulna a sokszor lefutott kör: nem azt mondom, hogy a LastPass biztonság terén rossz, hanem azt, hogy a jelenlegi nyilvánosan elérhető információk alapján nem jelenthető ki, hogy biztonság terén jó, így nem is ajánlható.

  * azért ajánlható, mert open source, hanem azért, mert egyik sem szimpla garázsprojekt, amelyiknek a kódját a kutya sem nézi át, hanem mindegyik népszerű termék hozzá kapcsolódó egyéb fejlesztésekkel, így sok szem látta már

  [ Szerkesztve ]

  tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Új hozzászólás Aktív témák