Saya menggunakan pustaka keyring untuk menyimpan kata sandi di aplikasi python saya.
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)Dan ini bekerja dengan sangat baik.
Saya berasumsi bahwa kata sandi aman dalam keyring, mereka dienkripsi. Tapi, karena saya bisa mendapatkannya dengan nama pengguna, apa yang mencegah aplikasi lain melakukan hal yang sama?
Bukankah itu risiko keamanan, atau saya melewatkan sesuatu?
Jawaban:
Perpustakaan keyring menggunakan keyring standar dari lingkungan desktop Anda, mis . Keyring GNOME . Kunci-kunci ini tidak terkunci setelah Anda masuk, artinya: ya, aplikasi lain yang dijalankan oleh Anda memiliki akses ke kata sandi yang Anda simpan dengan aplikasi Anda, tetapi - dan ini adalah ide kunci-kunci - pengguna lain dan aplikasi mereka belum pernah.
Mengutip " Filosofi Keamanan gnome-keyring ":
Contoh teater keamanan memberikan ilusi bahwa entah bagaimana satu aplikasi berjalan dalam konteks keamanan (seperti sesi pengguna Anda) dapat menyimpan informasi dari aplikasi lain yang berjalan dalam konteks keamanan yang sama.
Perhatikan bahwa usernamedi set_password/ get_passwordfungsi tidak terkait dengan nama pengguna yang menjalankan aplikasi (yaitu pengguna yang menggunakan keyring) tetapi mungkin misalnya alamat email, nama pengguna basis data, dll.