1
Jirajine 2021-04-25 10:35:09 +08:00 via Android 1
自动更新就是一种“合法的后门”,出现这种问题本身就说明这个秘密管理器的安全模型不合格。
|
2
Tink 2021-04-25 12:30:09 +08:00 via Android
我去。。。。这成本有点高
|
3
hronro 2021-04-25 15:27:21 +08:00
有点意思,我一直认为像密码管理器这种东西,应该是面向所有普通用户,而不是面向少数极客用户的产品,所以不可能要求用户自己 HOST 所有的东西,像自动更新这种功能应该是必备的。
然而以当下的情况来看,软件开发商也不可能自己掌控整个生态链的全部上下游,像 Server 、CDN 这些如果全部自己做的基本上不现实,而且即使是自己做也不代表就完全安全了。 这么说来的话,应该所有的密码管理器应该无一幸免? |
4
Jirajine 2021-04-25 15:43:10 +08:00 via Android
@hronro 检查更新可以,自动更新肯定不行。
合格的安全模型应该能对开发商自身进行防范,即使是 cia 敲门 /他们给得实在太多了的情况下,开发商也没有办法窃取到某一特定用户的信息(推送一个含有后门的版本)。 |
5
hronro 2021-04-25 15:57:59 +08:00
@Jirajine
我觉得没啥区别,举个很简单的例子,现在 iOS 的 App 应该是都没法自动更新的吧,但为什么 Passwordstate 发的申明是要求所有用户去改密码,而不是说 iOS 的用户就不用改了。原因在于 iOS 的用户也一样很可能会中招。 所以我的点在于是面对普通用户还是专业用户。如果是专业用户,对安全性有极高的要求,他们甚至不该选择无法自己 HOST 的密码管理服务。如果是普通用户,即使没有自动更新,而是让用户自己选择是否更新,那这些普通用户也无法判断这次更新是否是可靠的。这种情况下,通常选择不更新一直停留在低版本的用户风险更大。 |
6
Jirajine 2021-04-25 16:29:47 +08:00 1
@hronro #5 并不是,自动更新是指(合法地)在用户设备上执行任意代码,通过 appstore 自动更新也满足条件。
关键点只有一个:如果开发者决定对某一个特定的用户进行攻击,那么用户能否抵御。 要实现这样的安全模型,是有一定困难的,包括但不限于: 1. 端到端加密 2. 代码完全开源,经过安全审计 3. reproducible build 和 签名验证 4. 没有“后门”(包括自动更新 /网页版等远程任意代码执行) 总得来说要保证:软件是开源且经过安全审计的 <-> 用户运行的软件与发布的源代码对应 <->每个用户收到的代码完全一致 <-> (更新)代码和签名可验证 放在这个例子里,如果没有自动更新,普通用户除非立刻就盲目地更新到了有后门的版本以外,后续看到新闻,或者官方发布了修复,都不会中招。 |
7
siyiye 2021-04-25 17:03:45 +08:00
keepass 。个人免费,本地数据库+同步网盘,也有对应浏览器插件,好用的很
|
8
cjjia 2021-04-25 17:13:59 +08:00 via Android
应该把需要更新的文件加密后再发送给客户端解密再更新。
|
9
rekulas 2021-04-25 22:19:06 +08:00
|