Позавчера сотрудник Microsoft Дэйл Майерс (Dale Myers) обнаружил, что популярный менеджер паролей 1Password хранит метаданные пользователей в незашифрованном виде, и доступ к ним может получить едва ли не любой желающий. Так как проблема заключалась не в конкретной уязвимости, а в самой архитектуре программы, способов борьбы с багом насчитывалось немного. Однако разработчики 1Password решили прислушаться к обоснованной критике.

Напомню, что проблема заключается в том, что 1Password  может использовать различные форматы хранения данных. В частности, формат Agile Keychain, который удобно использовать в связке с функцией 1PasswordAnywhere, хранит пользовательские данные в виде JavaScript-файлов. Так как никакому шифрованию файлы не подвергаются, ознакомиться с метаданными пользователя 1Password крайне легко. Однако, начиная с 2012 года, компания AgileBits также использует и формат OPVault, который защищен куда лучше.

Однако OPVault не предлагался пользователям в качестве формата по умолчанию. Более того, об опасностях использования Agile Keychain компания AgileBits тоже не предупреждала.

Теперь ситуация изменилась. В блоге AgileBits появилась запись, созданная по следам публикации Майерса. Представители компании пояснили, что не хотели принуждать пользователей к жесткой и ультимативной миграции на OPVault, когда формат был впервые представлен в 2012 году. Теперь Майерс напомнил разработчикам о том, что «нужно двигаться дальше».

В новых версиях менеджера паролей OPVault станет форматом по умолчанию, и компания также готовит глобальную миграцию для всех пользователей 1Password. Те, кто не хочет ждать и желает перейти на новый формат хранения уже сегодня, могут сделать это самостоятельно, AgileBits опубликовала подробные инструкции:

  • Для пользователей Windows
  • Для пользователей Mac OS X
  • Для пользователей Android
  • Для пользователей iOS.

Фото: imore

1 комментарий

  1. Jeffrey Davis

    21.10.2015 at 11:00

    Сотрудник Microsoft Дэйл Майерс всё испортил.

Оставить мнение