Korzystam z biblioteki kluczy do przechowywania haseł w mojej aplikacji Python.
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)I to działa bardzo dobrze.
Zakładam, że hasła są bezpieczne w breloku, są szyfrowane. Ale skoro mogę uzyskać je według nazwy użytkownika, co uniemożliwia innym aplikacjom to samo?
Czy to nie jest zagrożenie bezpieczeństwa, czy coś mi brakuje?
Odpowiedzi:
Biblioteka kluczy używa standardowego zestawu kluczy środowiska pulpitu, np . Klucza GNOME . Ten brelok jest odblokowywany, gdy tylko się zalogujesz, co oznacza: tak, każda inna aplikacja uruchomiona przez Ciebie ma dostęp do hasła zapisanego w aplikacji, ale - i to jest pomysł breloka - inni użytkownicy i ich aplikacje nie mieć.
Cytując „ Filozofię bezpieczeństwa gnome-keyring ”:
Przykładem teatru bezpieczeństwa jest złudzenie, że jakaś aplikacja działająca w kontekście bezpieczeństwa (na przykład sesja użytkownika) może zachować informacje z innej aplikacji działającej w tym samym kontekście bezpieczeństwa.
Należy pamiętać, że usernamew funkcjach set_password/ get_passwordnie jest związany z nazwą użytkownika uruchamiającego aplikację (tj. Użytkownika, którego klucz jest używany), ale może to być na przykład adres e-mail, nazwa użytkownika bazy danych itp.