patrickyoung 最近的时间轴更新
patrickyoung

patrickyoung

V2EX 第 224886 号会员,加入于 2017-04-07 18:36:59 +08:00
根据 patrickyoung 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
patrickyoung 最近回复了
@juejinloop 来,我告诉你,BitWarden 的 Desktop Client ,在你登陆解锁之后默认的 Vault Lockout 是 Never ,而且默认的 Clear Clipboard 也是 Never ,意味着什么?意味着只要你打开系统,解锁 Bitwarden 之后就是可以被任何人随意读取操作的,甚至你复制了密码,都会被任何能读取剪贴板的程序读取。

那么按照你的逻辑,Windows 下任何应用都可以读取 Clipboard ,在你的终端 Compromised 的情况下,任何人有权随时使用 RAT 操作你的电脑,接下来 Bitwarden 也是不安全的。

建议别用密码管理器,用脑子记着,忘了就自己认栽。
复习一下身份认证的三个要素:
- something you know
- something you have
- something you are

1. 你的终端是 something you have ,那么你主动运行了解密的程序,算是一种授权
2. Windows 系统账户登陆密码是 something you know ,你主动输入了密码 ( Windows 10 登陆状态下通过浏览器查看明文,需要二次输入账户密码。但是用了系统的 DPAPI CryptUnprotectData 函数解密是没问题的,你的终端都 Compromise 了,就好比:你家里已经进了贼,你跟贼说,别看这里。或者说:你家里已经进了贼 = 你已经把钥匙 /密码给了贼,然后你说 “贼,别看我小本本”,可能吗?是 Google 家的工程师是 SB 还是楼主半瓶醋?

你告诉我一下,如果你的终端已经 Compromise 什么有用? Master Key 加密后( 1Password )在本地的缓存密码同样是可以解密的,那按你的逻辑类推,1Password 只是用了不是系统从你的账户密码 Derive 出的 Key 而已,其他的都是使用了同样是公开的算法和 API ,网上有大把的解密程序,是不是 1Password 这样都不安全?

3. 你或许会说 Windows 有问题,为什么调用这种函数不二次验证?那么系统 Keychain , 也就是 @ysc3839 提到的 Credential Manager 里面的东西也是用这个函数加密的。系统里还有大量的需要加密的数据,这个过程是用户无感知的,如果每次都要这样验证对应的 Windows Desktop Session Token 对应的 Password ,那么我估计你下一个帖子就是微软的工程师是 SB 。

@juejinloop 至于你说 Linux / Mac 的就更是扯淡了,Mac 的系统 Keychain 依然是需要二次验证密码 / touch id / face id 。Linux 默认的 Chrome 密钥存储依赖于 org.freedesktop.secrets 的实现,狭义来说,目前 API 完善,使用广泛的就是 Gnome Keyring 和 KDE Kwallet ,也是类似的算法。也不是明文存储。

不要把其他家的工程师和 Security and Compliance 团队当 SB 。
15 天前
回复了 ElsaGranger 创建的主题 macOS VMware Fusion Tech Preview 22H2 更新了
@cocoking vmtools iso 镜像在哪?之前装过的 win11 arm 现在要准备关闭 kernel debug 网卡肿么办?
Copilot 开源授权这事没洗的,垃圾。

但是 Gitlab 自己也提供企业版本,微软和 GitHub 也有员工要养,商业公司要赚钱要吃饭有什么问题吗?
https://echo.paw.cloud/
执行啥,掉字了。

然后 就我踩了大概一个月左右的坑的经验,k8s 官方文档里面 troubleshooting kubeadm 页面的东西能解决你 99.99%的问题。剩下 0.01%是网络环境的问题。
没有日语 要么…还是日语是硬性要求?
https://support.github.com/contact/report-abuse?category=report-abuse&report=murphysecurity&report_type=user

请大家帮忙一起 Report Spam ,直接让 GH ban 了他们生产账号吧。
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3325 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 04:41 · PVG 12:41 · LAX 21:41 · JFK 00:41
Developed with CodeLauncher
♥ Do have faith in what you're doing.