Авторы 1Password прислушались к критике и меняют формат хранения данных

Позавчера сотрудник Microsoft Дэйл Майерс (Dale Myers) обнаружил, что популярный менеджер паролей 1Password хранит метаданные пользователей в незашифрованном виде, и доступ к ним может получить едва ли не любой желающий. Так как проблема заключалась не в конкретной уязвимости, а в самой архитектуре программы, способов борьбы с багом насчитывалось немного. Однако разработчики 1Password решили прислушаться к обоснованной критике. Напомню, что проблема заключается в том, что 1Password может использовать различные форматы хранения данных. В частности, формат Agile Keychain, который удобно использовать в связке с функцией 1PasswordAnywhere, хранит пользовательские данные в виде JavaScript-файлов. Так как никакому шифрованию файлы не подвергаются, ознакомиться с метаданными пользователя 1Password крайне легко. Однако, начиная с 2012 года, компания AgileBitsтакже использует и формат OPVault, который защищен куда лучше. Однако OPVault не предлагался пользователям в качестве формата по умолчанию. Более того, об опасностях использования Agile Keychain компания AgileBits тоже не предупреждала.