Şifreleri python uygulamamda saklamak için anahtarlık kütüphanesi kullanıyorum .
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)Ve bu çok iyi çalışıyor.
Şifrelerin anahtarlıkta güvenli olduğunu, şifreli olduklarını varsayıyorum. Ancak, bunları kullanıcı adına göre alabildiğim için, diğer uygulamaların aynı şeyi yapmasını engelleyen nedir?
Bu bir güvenlik riski değil mi, yoksa bir şey mi kaçırıyorum?
Yanıtlar:
Anahtarlık kitaplığı, masaüstü ortamınızın standart anahtarlığını kullanır, örneğin GNOME anahtarlığı . Bu anahtarlığın oturum açtığınız anda kilidi açılır, yani: çalıştırdığınız herhangi bir uygulamanın uygulamanızla birlikte sakladığınız parolaya erişimi vardır, ancak - ve bu bir anahtarlık fikridir - diğer kullanıcılar ve uygulamaları değil.
“ GNOME-Anahtarlık Güvenlik Felsefesi ” nden alıntı :
Güvenlik tiyatrosunun bir örneği, güvenlik bağlamında çalışan bir uygulamanın (kullanıcı oturumunuz gibi) bir şekilde aynı güvenlik bağlamında çalışan başka bir uygulamadan bilgi tutabileceği yanılsamasıdır.
O Not usernameiçinde set_password/ get_passwordfonksiyonları uygulamayı çalıştıran kullanıcı adıyla bağlantılı değildir (yani kimin anahtarlık kullanılır kullanıcıyı) ancak örneğin vs. email adresi, veritabanı kullanıcı adı olabilir