Korzystam z biblioteki kluczy do przechowywania haseł w mojej aplikacji Python.
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)I to działa bardzo dobrze.
Zakładam, że hasła są bezpieczne w breloku, są szyfrowane. Ale skoro mogę uzyskać je według nazwy użytkownika, co uniemożliwia innym aplikacjom to samo?
Czy to nie jest zagrożenie bezpieczeństwa, czy coś mi brakuje?
Biblioteka kluczy używa standardowego zestawu kluczy środowiska pulpitu, np . Klucza GNOME . Ten brelok jest odblokowywany, gdy tylko się zalogujesz, co oznacza: tak, każda inna aplikacja uruchomiona przez Ciebie ma dostęp do hasła zapisanego w aplikacji, ale - i to jest pomysł breloka - inni użytkownicy i ich aplikacje nie mieć.
Cytując „ Filozofię bezpieczeństwa gnome-keyring ”:
Przykładem teatru bezpieczeństwa jest złudzenie, że jakaś aplikacja działająca w kontekście bezpieczeństwa (na przykład sesja użytkownika) może zachować informacje z innej aplikacji działającej w tym samym kontekście bezpieczeństwa.
Należy pamiętać, że usernamew funkcjach set_password/ get_passwordnie jest związany z nazwą użytkownika uruchamiającego aplikację (tj. Użytkownika, którego klucz jest używany), ale może to być na przykład adres e-mail, nazwa użytkownika bazy danych itp.