m******t
发帖数: 4077 | 1 连密码都给backup了,包括wifi的密码。感觉就像在google员工面前裸奔一样啊。 |
w******t
发帖数: 16937 | 2 没事。
【在 m******t 的大作中提到】
: 连密码都给backup了,包括wifi的密码。感觉就像在google员工面前裸奔一样啊。
|
s*****m
发帖数: 13092 | 3 Google will not do evil. LOL |
z****e
发帖数: 3400 | |
d*******3
发帖数: 6550 | 5 apple还不是都给你上传到icloud, 现在出来混,有谁是绝对干净的? |
c*c
发帖数: 2983 | 6 密码backup很正常吧,反正backup的东西存在server端都是加密的,其他人也无法访问
现在的browser都可以记住你的用户名和密码,sync的时候sync到server端,所以也没
什么好大惊小怪的了 |
B*G
发帖数: 3662 | 7 建议用USPS instead of email
【在 m******t 的大作中提到】
: 连密码都给backup了,包括wifi的密码。感觉就像在google员工面前裸奔一样啊。
|
L**i
发帖数: 22365 | 8 USPS丢邮件更evil……
【在 B*G 的大作中提到】
: 建议用USPS instead of email
|
z*n
发帖数: 2893 | 9 加密有P用,真要查看的时候连CIA头的情书都能翻出来。
你是说有可能连browser里面的密码也upload? 比如mitbbs, bankaccount什么的? 这
恐怕不符合privacy声明吧。
【在 c*c 的大作中提到】
: 密码backup很正常吧,反正backup的东西存在server端都是加密的,其他人也无法访问
: 现在的browser都可以记住你的用户名和密码,sync的时候sync到server端,所以也没
: 什么好大惊小怪的了
|
d*******3
发帖数: 6550 | 10 CIA头是他自己的密码被人hack了,又不是google服务器端被hack。再说了谁要是真觉
得自己和到了CIA,FBI的地步了,那就不应该用这些消费者级别的服务。
密码upload不是有可能,现在都是这么回事,只要有密码sync的不都是这样么,chrome
, firefox, icloud太多了。密码的传输都是加密的,基本上只要加密手段OK即使服务
器被hack信息也不会泄漏,除非傻到用明文传输和存储密码。
【在 z*n 的大作中提到】
: 加密有P用,真要查看的时候连CIA头的情书都能翻出来。
: 你是说有可能连browser里面的密码也upload? 比如mitbbs, bankaccount什么的? 这
: 恐怕不符合privacy声明吧。
|
|
|
c*c
发帖数: 2983 | 11 firefox,chrome的sync功能都可以sync password的。 privacy声明说不能sync
password? 还停留在原始社会?
【在 z*n 的大作中提到】
: 加密有P用,真要查看的时候连CIA头的情书都能翻出来。
: 你是说有可能连browser里面的密码也upload? 比如mitbbs, bankaccount什么的? 这
: 恐怕不符合privacy声明吧。
|
z*n
发帖数: 2893 | 12 CIA的头密码没有被人hack,是政府要查他。
这sync有很严重的安全问题啊, 也就是说如果我用来sync的account密码泄露了,我其
他所有sync到server端的密码全完了... 比如别人只要知道我的gmail account密码,
即便我的bbs account密码不一样也能被搞翻?how about my bank account? 这是多傻
X的设计啊。
chrome
【在 d*******3 的大作中提到】
: CIA头是他自己的密码被人hack了,又不是google服务器端被hack。再说了谁要是真觉
: 得自己和到了CIA,FBI的地步了,那就不应该用这些消费者级别的服务。
: 密码upload不是有可能,现在都是这么回事,只要有密码sync的不都是这样么,chrome
: , firefox, icloud太多了。密码的传输都是加密的,基本上只要加密手段OK即使服务
: 器被hack信息也不会泄漏,除非傻到用明文传输和存储密码。
|
S********t
发帖数: 3431 | 13 that's why you need to turn on 2-step verification, to make gmail account
security much higher than your bbs account.
Bank account password won't be stored, try yourself
【在 z*n 的大作中提到】
: CIA的头密码没有被人hack,是政府要查他。
: 这sync有很严重的安全问题啊, 也就是说如果我用来sync的account密码泄露了,我其
: 他所有sync到server端的密码全完了... 比如别人只要知道我的gmail account密码,
: 即便我的bbs account密码不一样也能被搞翻?how about my bank account? 这是多傻
: X的设计啊。
:
: chrome
|
S********t
发帖数: 3431 | 14 besides, you can always control what to sync, you can specify not to sync
pwd but sync everything else, either when you first sign up for sync or
anytime later
【在 z*n 的大作中提到】
: CIA的头密码没有被人hack,是政府要查他。
: 这sync有很严重的安全问题啊, 也就是说如果我用来sync的account密码泄露了,我其
: 他所有sync到server端的密码全完了... 比如别人只要知道我的gmail account密码,
: 即便我的bbs account密码不一样也能被搞翻?how about my bank account? 这是多傻
: X的设计啊。
:
: chrome
|
a***y
发帖数: 19743 | 15 事情弄清楚先。
这是Google直接把信息交给FBI,包括邮件draft历史纪录
chrome
【在 d*******3 的大作中提到】
: CIA头是他自己的密码被人hack了,又不是google服务器端被hack。再说了谁要是真觉
: 得自己和到了CIA,FBI的地步了,那就不应该用这些消费者级别的服务。
: 密码upload不是有可能,现在都是这么回事,只要有密码sync的不都是这样么,chrome
: , firefox, icloud太多了。密码的传输都是加密的,基本上只要加密手段OK即使服务
: 器被hack信息也不会泄漏,除非傻到用明文传输和存储密码。
|
L*****e
发帖数: 8347 | 16 我觉得还是先弄清楼主claim的连wifi pwd都sync了是怎么回事吧?你在这里所说的“
always control what to sync”大概指的gmail account pwd或者browser里存的pwd等
,大概不包括wifi pwd吧?
【在 S********t 的大作中提到】
: besides, you can always control what to sync, you can specify not to sync
: pwd but sync everything else, either when you first sign up for sync or
: anytime later
|
c*c
发帖数: 2983 | 17 如果这么轻易就能hack你的某一个account, 那本来你的其他account就很可能被
compromise。
iphone, android上还有一大堆帮你manage password的app,只要crack这些app里你的
master password,你的其他全部的password就都知道了。
security问题很多情况下都是从hack一个account开始,然后慢慢hack其他account,如
果一个account已经被hack了,本来其他的就都不保险了. 前阵子不就是人家可以冒充
你给amazon打电话,然后要到ssn,然后compromise你的apple account,然后一路继续
【在 z*n 的大作中提到】
: CIA的头密码没有被人hack,是政府要查他。
: 这sync有很严重的安全问题啊, 也就是说如果我用来sync的account密码泄露了,我其
: 他所有sync到server端的密码全完了... 比如别人只要知道我的gmail account密码,
: 即便我的bbs account密码不一样也能被搞翻?how about my bank account? 这是多傻
: X的设计啊。
:
: chrome
|
d*******3
发帖数: 6550 | 18 搞清楚了,fbi申请的warrant要记录,又不是google自己主动提交的。
【在 a***y 的大作中提到】
: 事情弄清楚先。
: 这是Google直接把信息交给FBI,包括邮件draft历史纪录
:
: chrome
|
d*******3
发帖数: 6550 | 19 这个设计简单一看很傻,其实一点也不傻。现在那么多网站和网上服务,N多用户名密
码,一般人怎么可能记得住。所以大部分人的做法就是用一样的或者差不多的用户名和
密码,但是这样也不安全,因为你不知道那些网站的加密和安全程度,所以一旦一个网
站被hack了,等于你其他的帐号也都泄漏了,前段时间很著名的csdn不就是么。
而用专门的password管理软件,每个网站就可以使用不同的随机密码,这样安全性大大
提高。只需要记住一个复杂的管理软件的密码。至于bank account这种比较重要的就看
各人了,那些网站本身也不允许网页记住密码,所以那些syn之类的或者管理软件都用
不了,除非你手动输入。
【在 z*n 的大作中提到】
: CIA的头密码没有被人hack,是政府要查他。
: 这sync有很严重的安全问题啊, 也就是说如果我用来sync的account密码泄露了,我其
: 他所有sync到server端的密码全完了... 比如别人只要知道我的gmail account密码,
: 即便我的bbs account密码不一样也能被搞翻?how about my bank account? 这是多傻
: X的设计啊。
:
: chrome
|
S********t
发帖数: 3431 | 20 Android:
settings --> Backup & reset --> Back up my data (checkbox):
"Back up app data, Wi-Fi passwords, and other settings to Google servers"
【在 L*****e 的大作中提到】
: 我觉得还是先弄清楼主claim的连wifi pwd都sync了是怎么回事吧?你在这里所说的“
: always control what to sync”大概指的gmail account pwd或者browser里存的pwd等
: ,大概不包括wifi pwd吧?
|
|
|
c******a
发帖数: 2516 | 21 谁主动的不是关键。
关键是东西可都在google手里。 这里头可想的事情可多了。。。
【在 d*******3 的大作中提到】
: 搞清楚了,fbi申请的warrant要记录,又不是google自己主动提交的。
|
z*n
发帖数: 2893 | 22 我想任何一个设计都不应当假设用户如何管理自己的密码,也不应当自作主张把自己的
安全性放到别人之上。
比如我在TP上装个CM9, sign-in一个GG account下载愤鸟,本来我的gmail account就
是专门装junk mail,我不信任GG会正确的处理我的隐私问题,我连电话都没给GG去开
启那个2-step verification. 由于这email account可有可无,我也许随便设置一个
weak密码也不常变。结果你自作主张把我家的wifi密码放进去了...这就是个security
hole,没啥好争辨的。
【在 c*c 的大作中提到】
: 如果这么轻易就能hack你的某一个account, 那本来你的其他account就很可能被
: compromise。
: iphone, android上还有一大堆帮你manage password的app,只要crack这些app里你的
: master password,你的其他全部的password就都知道了。
: security问题很多情况下都是从hack一个account开始,然后慢慢hack其他account,如
: 果一个account已经被hack了,本来其他的就都不保险了. 前阵子不就是人家可以冒充
: 你给amazon打电话,然后要到ssn,然后compromise你的apple account,然后一路继续
|
g*****g
发帖数: 34805 | 23 所有的icp都一样,换了hotmail一样有记录。
【在 d*******3 的大作中提到】
: 搞清楚了,fbi申请的warrant要记录,又不是google自己主动提交的。
|
S********t
发帖数: 3431 | 24 别喷了,你自己没用过android就算了,连我前面关于wifi密码sync的设置的回复也不
看,就开始喷,这样就显得你自己很没水平了
security
【在 z*n 的大作中提到】
: 我想任何一个设计都不应当假设用户如何管理自己的密码,也不应当自作主张把自己的
: 安全性放到别人之上。
: 比如我在TP上装个CM9, sign-in一个GG account下载愤鸟,本来我的gmail account就
: 是专门装junk mail,我不信任GG会正确的处理我的隐私问题,我连电话都没给GG去开
: 启那个2-step verification. 由于这email account可有可无,我也许随便设置一个
: weak密码也不常变。结果你自作主张把我家的wifi密码放进去了...这就是个security
: hole,没啥好争辨的。
|
z*n
发帖数: 2893 | 25 你如果有水平的话应当同意在用户不知情的情况下把wifi password上传是个security
hole吧?
查了一下, 这不是只有LZ和我的有的问题.
http://androidforums.com/android-applications/382763-wow-google
有用户反应:
I recently did a hard reset of my phone and formatted the SD card. I was
shocked when it somehow remembered my wifi password. The thing is that When
I synced with my gmail I got all my contacts back which is cool, but the
whole time I was pretty sure I had the backup feature with google turned off
. Also none of my apps or other settings were restored in anyway that I can
tell. Anyways I'm just wondering if anyone knows where in Google's account
settings this can be managed. I have been searching the net and google and
can't find anything.
要不你好心给他们回复一下? 也算community work.
【在 S********t 的大作中提到】
: 别喷了,你自己没用过android就算了,连我前面关于wifi密码sync的设置的回复也不
: 看,就开始喷,这样就显得你自己很没水平了
:
: security
|
S********t
发帖数: 3431 | 26 of course it's violation of privacy policy to sync/store private user data
without user consent.
Unfortunately but realistically, many users (including myself) will "agree"
to terms or select checkboxs that they don't really carefully read.
BTW, Google provides a great dashboard tool for user to understand and
manage personal data stored at Google:
https://www.google.com/dashboard
security
When
off
can
【在 z*n 的大作中提到】
: 你如果有水平的话应当同意在用户不知情的情况下把wifi password上传是个security
: hole吧?
: 查了一下, 这不是只有LZ和我的有的问题.
: http://androidforums.com/android-applications/382763-wow-google
: 有用户反应:
: I recently did a hard reset of my phone and formatted the SD card. I was
: shocked when it somehow remembered my wifi password. The thing is that When
: I synced with my gmail I got all my contacts back which is cool, but the
: whole time I was pretty sure I had the backup feature with google turned off
: . Also none of my apps or other settings were restored in anyway that I can
|
z*n
发帖数: 2893 | 27 说了半天, 哪个如果防止wifi password被上传到GG的设置在哪里呢? 我在dashboard里
找不到啊.
"
【在 S********t 的大作中提到】
: of course it's violation of privacy policy to sync/store private user data
: without user consent.
: Unfortunately but realistically, many users (including myself) will "agree"
: to terms or select checkboxs that they don't really carefully read.
: BTW, Google provides a great dashboard tool for user to understand and
: manage personal data stored at Google:
: https://www.google.com/dashboard
:
: security
: When
|
d*******3
发帖数: 6550 | 28 那个当然是在你手机里设置了,你刚拿到手机初始化的时候就会问你要不要backup
data,自己忽略了不能怪别人吧
【在 z*n 的大作中提到】
: 说了半天, 哪个如果防止wifi password被上传到GG的设置在哪里呢? 我在dashboard里
: 找不到啊.
:
: "
|
a****a
发帖数: 3905 | 29 这个其实应当细分的。比如MS虽然也backup app setting, 但是不备份你的密码。
【在 S********t 的大作中提到】
: Android:
: settings --> Backup & reset --> Back up my data (checkbox):
: "Back up app data, Wi-Fi passwords, and other settings to Google servers"
|
A******D
发帖数: 2844 | 30 家里的router直接mac绑定不就是了,wifi密码谁在乎
【在 a****a 的大作中提到】
: 这个其实应当细分的。比如MS虽然也backup app setting, 但是不备份你的密码。
|
|
|
a****a
发帖数: 3905 | 31 mac filtering应当是最不secure的方法之一吧。
【在 A******D 的大作中提到】
: 家里的router直接mac绑定不就是了,wifi密码谁在乎
|
z*n
发帖数: 2893 | 32 你说的是完全disable backup my data? 这不就是LZ说的"backup太scary"了, 需要
disable?
而且网上有人报告即便disable了backup GG还是能restore那个密码...可能一旦backup
一次, 就永久保存了.
对于不想公开自己家wifi password的用户, 这系统就等于是没有backup功能...
【在 d*******3 的大作中提到】
: 那个当然是在你手机里设置了,你刚拿到手机初始化的时候就会问你要不要backup
: data,自己忽略了不能怪别人吧
|
d*******3
发帖数: 6550 | 33 不是永久保存,你同时disable backup 和automatic restore就会问你是不是把google
server上的data删掉。
只不过是个wifi密码而已,别人有了密码还要知道你家在哪啊才有用啊。再说如果wifi
密码简单的话也是比较容易破解的。复杂的密码又难记,所以这个sync 密码还是挺方
便,只能sync,你是看不到明文的,所以相对安全。
而且真正要wifi安全的话光靠密码肯定不够,其他途径还是很多的。比如不用密码,家
里的所有设备绑定mac,来客人的话单独建个guest net,只让上Internet, 限制访问局
域网等等
大部分普通消费者不用这样,所以sync password之类是给广大普通消费者带来方便的
,要是真对这些很敏感的人,终极办法就是自己在家host一台服务器,所有传输都加密
。其他方法理论上都存在potential security hole的
backup
【在 z*n 的大作中提到】
: 你说的是完全disable backup my data? 这不就是LZ说的"backup太scary"了, 需要
: disable?
: 而且网上有人报告即便disable了backup GG还是能restore那个密码...可能一旦backup
: 一次, 就永久保存了.
: 对于不想公开自己家wifi password的用户, 这系统就等于是没有backup功能...
|
z*n
发帖数: 2893 | 34 你这是和以前那个反正上印度公车有可能被XX,反正没有脱不下来的衣服,干脆裸奔算
了的观点相似。作为在用户不知情情况下上传密码的一方,争论这密码价值是不合适的
。同样,有其他方法攻击用户也不是大家可以安心往产品里放security hole的理由。
如果一个软件装个keylogger,分析用户密码然后上传,这就是典型的malware.
这漏洞意味着我以后不能给我用android的朋友上我家的wifi网络,我能保证他们不会
attack我的internal network, 但我不能指望他能象我保护我的内网一样保护他的gg
account.
google
wifi
【在 d*******3 的大作中提到】
: 不是永久保存,你同时disable backup 和automatic restore就会问你是不是把google
: server上的data删掉。
: 只不过是个wifi密码而已,别人有了密码还要知道你家在哪啊才有用啊。再说如果wifi
: 密码简单的话也是比较容易破解的。复杂的密码又难记,所以这个sync 密码还是挺方
: 便,只能sync,你是看不到明文的,所以相对安全。
: 而且真正要wifi安全的话光靠密码肯定不够,其他途径还是很多的。比如不用密码,家
: 里的所有设备绑定mac,来客人的话单独建个guest net,只让上Internet, 限制访问局
: 域网等等
: 大部分普通消费者不用这样,所以sync password之类是给广大普通消费者带来方便的
: ,要是真对这些很敏感的人,终极办法就是自己在家host一台服务器,所有传输都加密
|
c*c
发帖数: 2983 | 35 wifi密码,真要hack的话, 想hack就hack了,有那么sensitive? 你不会是所有的网
站和wifi密码都一样吧?
如果真的这样,那你隔壁邻居就可以破解你所有密码了。 hack wifi密码本来就不是复
杂的事情, 用工具的话短的几个小时,慢的几天也就搞定了
【在 z*n 的大作中提到】
: 你这是和以前那个反正上印度公车有可能被XX,反正没有脱不下来的衣服,干脆裸奔算
: 了的观点相似。作为在用户不知情情况下上传密码的一方,争论这密码价值是不合适的
: 。同样,有其他方法攻击用户也不是大家可以安心往产品里放security hole的理由。
: 如果一个软件装个keylogger,分析用户密码然后上传,这就是典型的malware.
: 这漏洞意味着我以后不能给我用android的朋友上我家的wifi网络,我能保证他们不会
: attack我的internal network, 但我不能指望他能象我保护我的内网一样保护他的gg
: account.
:
: google
: wifi
|
t***s
发帖数: 4666 | 36 you should really separate your private network and guest network if you
care so much
【在 z*n 的大作中提到】
: 你这是和以前那个反正上印度公车有可能被XX,反正没有脱不下来的衣服,干脆裸奔算
: 了的观点相似。作为在用户不知情情况下上传密码的一方,争论这密码价值是不合适的
: 。同样,有其他方法攻击用户也不是大家可以安心往产品里放security hole的理由。
: 如果一个软件装个keylogger,分析用户密码然后上传,这就是典型的malware.
: 这漏洞意味着我以后不能给我用android的朋友上我家的wifi网络,我能保证他们不会
: attack我的internal network, 但我不能指望他能象我保护我的内网一样保护他的gg
: account.
:
: google
: wifi
|
d*******3
发帖数: 6550 | 37 这怎么能算漏洞,已经明确告诉你要backup data, 也会sync wifi password。你要是
觉得不安全就不要让他backup,你自己backup。你想用他的backup,又不信任他,这不是
互相矛盾的么。
【在 z*n 的大作中提到】
: 你这是和以前那个反正上印度公车有可能被XX,反正没有脱不下来的衣服,干脆裸奔算
: 了的观点相似。作为在用户不知情情况下上传密码的一方,争论这密码价值是不合适的
: 。同样,有其他方法攻击用户也不是大家可以安心往产品里放security hole的理由。
: 如果一个软件装个keylogger,分析用户密码然后上传,这就是典型的malware.
: 这漏洞意味着我以后不能给我用android的朋友上我家的wifi网络,我能保证他们不会
: attack我的internal network, 但我不能指望他能象我保护我的内网一样保护他的gg
: account.
:
: google
: wifi
|
z*n
发帖数: 2893 | 38 are you sure? 我怎么记得WPA/WPA2 with AES是安全的? 可能出问题的是WEP和WPA/
TKIP?
为了这个我特意在router端选的AES.
有没有出处让我研究研究。
【在 c*c 的大作中提到】
: wifi密码,真要hack的话, 想hack就hack了,有那么sensitive? 你不会是所有的网
: 站和wifi密码都一样吧?
: 如果真的这样,那你隔壁邻居就可以破解你所有密码了。 hack wifi密码本来就不是复
: 杂的事情, 用工具的话短的几个小时,慢的几天也就搞定了
|
z*n
发帖数: 2893 | 39 LZ本来就是说“google 这个手机backup太scary了”,因为sync wifi password. 无论
对用户是不是surprise, 它确实是在sync wifi password, 大家搅和半天结果结论是只
有整个关掉backup,没有办法backup app data/phone setting, 但不上传密码... 这
不就是scary的原因么? 你把盐和砒霜混在一起卖,有人说这产品太scary了,你告诉
人家砒霜吃了没事情/你买之前我告诉你了/不信任别吃盐...这都不影响这scary的
claim啊。
综合所有的建议,其实就是如果没有建立guest network的,关心自己内网安全的,一
律不应当给来家里的android设备wifi access, 你没有办法保证你朋友的g account会
被偷,你也不能强迫你朋友不backup他的设备,只能告诉他Android有这个scary的
backup...
【在 d*******3 的大作中提到】
: 这怎么能算漏洞,已经明确告诉你要backup data, 也会sync wifi password。你要是
: 觉得不安全就不要让他backup,你自己backup。你想用他的backup,又不信任他,这不是
: 互相矛盾的么。
|
S********t
发帖数: 3431 | 40 还有另外一个矛盾,既然他这么care data/password security,但是却不愿意采用2-
step verification来增加google account的security。然后又说google account不够
secure来保护他的wifi 密码的安全性。
这不是很搞笑嘛
【在 d*******3 的大作中提到】
: 这怎么能算漏洞,已经明确告诉你要backup data, 也会sync wifi password。你要是
: 觉得不安全就不要让他backup,你自己backup。你想用他的backup,又不信任他,这不是
: 互相矛盾的么。
|
|
|
d*******3
发帖数: 6550 | 41 之前说了,即使朋友sync你的wifi密码然后帐号被盗了,人家也看不到wifi密码的,总
之你看不到明文的。不信你可以拿你的手机看看能不能看到现在的密码是什么,是看不
到的。密码加密的一个原则就是要不可逆,这样难道还scary么?
【在 z*n 的大作中提到】
: LZ本来就是说“google 这个手机backup太scary了”,因为sync wifi password. 无论
: 对用户是不是surprise, 它确实是在sync wifi password, 大家搅和半天结果结论是只
: 有整个关掉backup,没有办法backup app data/phone setting, 但不上传密码... 这
: 不就是scary的原因么? 你把盐和砒霜混在一起卖,有人说这产品太scary了,你告诉
: 人家砒霜吃了没事情/你买之前我告诉你了/不信任别吃盐...这都不影响这scary的
: claim啊。
: 综合所有的建议,其实就是如果没有建立guest network的,关心自己内网安全的,一
: 律不应当给来家里的android设备wifi access, 你没有办法保证你朋友的g account会
: 被偷,你也不能强迫你朋友不backup他的设备,只能告诉他Android有这个scary的
: backup...
|
S********t
发帖数: 3431 | 42 错误。
“scary”的原因不是“只能整个关掉backup”而是用户对sync password感到surprise
和感到无法control。
再说直接点,就是用户本身就对这个privacy/security的问题不够关心,turn on了
backup feature但是又不知道不关心什么会被sync,但是有一天突然发现密码被sync了
,感到了意外和害怕,害怕的根源是feel Google did something without his
consent and he does't know how to control,觉得google“偷偷”的存了他的密码
do evil
至于你说的,back app data和wifi pwd无法分开设置,你可以把这个叫做是backup
feature的缺陷,给user control不够细化,但是这跟scary不scary是两码事
【在 z*n 的大作中提到】
: LZ本来就是说“google 这个手机backup太scary了”,因为sync wifi password. 无论
: 对用户是不是surprise, 它确实是在sync wifi password, 大家搅和半天结果结论是只
: 有整个关掉backup,没有办法backup app data/phone setting, 但不上传密码... 这
: 不就是scary的原因么? 你把盐和砒霜混在一起卖,有人说这产品太scary了,你告诉
: 人家砒霜吃了没事情/你买之前我告诉你了/不信任别吃盐...这都不影响这scary的
: claim啊。
: 综合所有的建议,其实就是如果没有建立guest network的,关心自己内网安全的,一
: 律不应当给来家里的android设备wifi access, 你没有办法保证你朋友的g account会
: 被偷,你也不能强迫你朋友不backup他的设备,只能告诉他Android有这个scary的
: backup...
|
z*n
发帖数: 2893 | 43 这恐怕有些缺乏安全知识,如果我理解没有错误的话,只要有g account credentials,
无论你怎样加密数据, 怎样限制你自己的UI如何不显示数据,对于有正确工具的第三
方,你就是明码,没有什么安全性可谈。
密码加密不可逆??头一回听说,你这是啥意思? 加密了就没办法解密??有key这些全
是明码,等于裸奔啊。
【在 d*******3 的大作中提到】
: 之前说了,即使朋友sync你的wifi密码然后帐号被盗了,人家也看不到wifi密码的,总
: 之你看不到明文的。不信你可以拿你的手机看看能不能看到现在的密码是什么,是看不
: 到的。密码加密的一个原则就是要不可逆,这样难道还scary么?
|
z*n
发帖数: 2893 | 44 这恐怕要找LZ clarify一下了。
“
发信人: marriott (marriott), 信区: PDA
标 题: google 这个手机backup太scary了
发信站: BBS 未名空间站 (Thu Jan 10 09:46:42 2013, 美东)
连密码都给backup了,包括wifi的密码。感觉就像在google员工面前裸奔一样啊。
”
我怎么读都是对于自己不小心“裸奔”感到scary, 你可以继续细化是对于裸奔碰到了
谁,被看到哪个部位, 是有人偷偷看他裸奔还是公开告诉他...而感到scary,但最终他
确实是在裸奔啊。
叫缺限/bug/安全漏洞等等只是称谓问题,结果就是我如果让朋友的手机上我的wifi,
如果他backup phone, 如果有人hack了他的g account, 我的内网密码对于hacker就是
明码。我不可能限制他怎样用他的手机,只能说凡是Android设备,不能上我的wifi.
surprise
【在 S********t 的大作中提到】
: 错误。
: “scary”的原因不是“只能整个关掉backup”而是用户对sync password感到surprise
: 和感到无法control。
: 再说直接点,就是用户本身就对这个privacy/security的问题不够关心,turn on了
: backup feature但是又不知道不关心什么会被sync,但是有一天突然发现密码被sync了
: ,感到了意外和害怕,害怕的根源是feel Google did something without his
: consent and he does't know how to control,觉得google“偷偷”的存了他的密码
: do evil
: 至于你说的,back app data和wifi pwd无法分开设置,你可以把这个叫做是backup
: feature的缺陷,给user control不够细化,但是这跟scary不scary是两码事
|
d*******3
发帖数: 6550 | 45 我就简单说一下吧,就拿最简单的网站密码来说,最简单的是用md5加密,md5算法不可
逆,就是加密以后的内容无法反过来算出原来的内容,当然这里md5只是举个例子,现
在只用md5已经不可靠了。
然后这些不可逆的加密内容存在数据库里,你登入的时候输入密码用同样的算法加密以
后和数据库中对比来判断原始密码是否一样。这也是为什么你忘记密码以后只能重新设
置新密码而不能把就密码发给你,当然我也碰到过个别的小网站忘记密码后直接把明文
密码发给你,说明他们的密码是明文存储的。
所以就算你有g account的credential,然后把password sync到手了,这些password也
是加密的内容,你基本没有办法破解的。所以那些密码管理软件来说,你只要保管好一
个重要密码,然后不同的网站用不同的随机密码,这样如果某个网站用明文存储密码被
hack了,不会影响到你其他重要的网站。因为现在大大小小的网站实在太多,你也没法
知道他后台用的算法到底怎么样。
credentials,
【在 z*n 的大作中提到】
: 这恐怕有些缺乏安全知识,如果我理解没有错误的话,只要有g account credentials,
: 无论你怎样加密数据, 怎样限制你自己的UI如何不显示数据,对于有正确工具的第三
: 方,你就是明码,没有什么安全性可谈。
: 密码加密不可逆??头一回听说,你这是啥意思? 加密了就没办法解密??有key这些全
: 是明码,等于裸奔啊。
|
z*n
发帖数: 2893 | 46 what are you talking about?? one-way hash? 这和这个保存wifi密码又啥关系?
你能restore那个backup, 从backup里能读出你backup起来的wifi密码,能再连上那个
wifi. 这已经说明只要有gaccount credential, 那存下来的密码就是明码,就是裸奔。
有gaccount credential, 所有这些就是明码, 等于裸奔。这个我建议你最好不要有啥
错误的假设,明显不对的。
【在 d*******3 的大作中提到】
: 我就简单说一下吧,就拿最简单的网站密码来说,最简单的是用md5加密,md5算法不可
: 逆,就是加密以后的内容无法反过来算出原来的内容,当然这里md5只是举个例子,现
: 在只用md5已经不可靠了。
: 然后这些不可逆的加密内容存在数据库里,你登入的时候输入密码用同样的算法加密以
: 后和数据库中对比来判断原始密码是否一样。这也是为什么你忘记密码以后只能重新设
: 置新密码而不能把就密码发给你,当然我也碰到过个别的小网站忘记密码后直接把明文
: 密码发给你,说明他们的密码是明文存储的。
: 所以就算你有g account的credential,然后把password sync到手了,这些password也
: 是加密的内容,你基本没有办法破解的。所以那些密码管理软件来说,你只要保管好一
: 个重要密码,然后不同的网站用不同的随机密码,这样如果某个网站用明文存储密码被
|
d*******3
发帖数: 6550 | 47 搞笑了,就算wifi的到本地最后能得到明码,也不等于裸奔。首先google restore到手
机上的时候肯定是加密,然后再在手机上机密得到明码,除非你知道google的算法或者
破解,不然你怎么得到明文的wifi密码。
刚才都说了让你试下,你能在手机上看到你自己wifi的密码明文不?
奔。
【在 z*n 的大作中提到】
: what are you talking about?? one-way hash? 这和这个保存wifi密码又啥关系?
: 你能restore那个backup, 从backup里能读出你backup起来的wifi密码,能再连上那个
: wifi. 这已经说明只要有gaccount credential, 那存下来的密码就是明码,就是裸奔。
: 有gaccount credential, 所有这些就是明码, 等于裸奔。这个我建议你最好不要有啥
: 错误的假设,明显不对的。
|
t***s
发帖数: 4666 | 48 好像如果root以后直接看wpa_supplicant.conf里面的密码是明文的。
【在 d*******3 的大作中提到】
: 搞笑了,就算wifi的到本地最后能得到明码,也不等于裸奔。首先google restore到手
: 机上的时候肯定是加密,然后再在手机上机密得到明码,除非你知道google的算法或者
: 破解,不然你怎么得到明文的wifi密码。
: 刚才都说了让你试下,你能在手机上看到你自己wifi的密码明文不?
:
: 奔。
|
z*n
发帖数: 2893 | 49 ...我真心建议你应当对于自己不大明白的东西先想想查查再评论。 你这说法从技术上
讲是错误的。
所有这些东西都最终bound到g account的credential上,只要这个credential被第三方
知道,所有这些算法,UI问题只是使第三方读到这明码时费一些事情,从保密强度看就
是0, 等于裸奔。 比如如果有g account credential, 第三方可以用软件模拟一个
restore, 服务器方没有办法区分,也无从保护。
这缺陷/漏洞的问题就是把两个密码的安全性取了个min, 在我的例子里,我再怎么保护
我自己的密码也没用, hacker进入我的内网的麻烦程度就是搞定我任何一个朋友的
gaccount.
【在 d*******3 的大作中提到】
: 搞笑了,就算wifi的到本地最后能得到明码,也不等于裸奔。首先google restore到手
: 机上的时候肯定是加密,然后再在手机上机密得到明码,除非你知道google的算法或者
: 破解,不然你怎么得到明文的wifi密码。
: 刚才都说了让你试下,你能在手机上看到你自己wifi的密码明文不?
:
: 奔。
|
t***s
发帖数: 4666 | 50 the weakest link here is the trust you put on your friends.
【在 z*n 的大作中提到】
: ...我真心建议你应当对于自己不大明白的东西先想想查查再评论。 你这说法从技术上
: 讲是错误的。
: 所有这些东西都最终bound到g account的credential上,只要这个credential被第三方
: 知道,所有这些算法,UI问题只是使第三方读到这明码时费一些事情,从保密强度看就
: 是0, 等于裸奔。 比如如果有g account credential, 第三方可以用软件模拟一个
: restore, 服务器方没有办法区分,也无从保护。
: 这缺陷/漏洞的问题就是把两个密码的安全性取了个min, 在我的例子里,我再怎么保护
: 我自己的密码也没用, hacker进入我的内网的麻烦程度就是搞定我任何一个朋友的
: gaccount.
|
|
|
z*n
发帖数: 2893 | 51 严格的说我们只是知道link是啥,哪个最弱是case by case.
【在 t***s 的大作中提到】
: the weakest link here is the trust you put on your friends.
|
d*******3
发帖数: 6550 | 52 照你这么说google早就应该破产了。去科普一下的应该是你。
“所有这些算法,UI问题只是使第三方读到这明码时费一些事情,从保密强度看就
这个是多么可笑,要真是这样那等于说所有的信息都是由一个相对很简单的密码来保护
着,多么弱啊。那就不会有密码学这一个学科了。
就算你拿到credential把手机restore了,你只能用这台手机来连接wifi,是没法知道
密码的,更不可能等于裸奔。
另外这种未知的算法破解几乎不可能,除非有漏洞。我劝你还是先去科普一下密码学的
知识,
http://zh.wikipedia.org/zh-cn/%E5%AF%86%E7%A0%81%E5%AD%A6
"hacker进入我的内网的麻烦程度就是搞定我任何一个朋友的 gaccount."这句说的没错
,但是就算wifi password没有传到gaccount, hacker进入你的内网的麻烦程度就是搞
定你任何一个朋友的手机。所以说这个理论漏洞和google没什么关系,而和你朋友有关
系。 |
S********t
发帖数: 3431 | 53 我觉得本质上的漏洞是你把密码告诉朋友,这件事情是本质上是把一个你认为安全级别
高的信息share给安全级别低(达不到你对安全级别要求,并且你无法控制)的人。
如果你对密码安全很敏感,你的正确做法是设独立的guest wifi pwd
你自己也知道,密码安全性很重要的原则是如果你用一个密码A去保护另外一个密码B,
B的安全性是取了个min。至于Google,我就问你,开启了2-step verification的
Google account的安全性,比你自己家的wifi password的安全性要高很多,这个你同
意?
【在 z*n 的大作中提到】
: ...我真心建议你应当对于自己不大明白的东西先想想查查再评论。 你这说法从技术上
: 讲是错误的。
: 所有这些东西都最终bound到g account的credential上,只要这个credential被第三方
: 知道,所有这些算法,UI问题只是使第三方读到这明码时费一些事情,从保密强度看就
: 是0, 等于裸奔。 比如如果有g account credential, 第三方可以用软件模拟一个
: restore, 服务器方没有办法区分,也无从保护。
: 这缺陷/漏洞的问题就是把两个密码的安全性取了个min, 在我的例子里,我再怎么保护
: 我自己的密码也没用, hacker进入我的内网的麻烦程度就是搞定我任何一个朋友的
: gaccount.
|
D*****I
发帖数: 8268 | 54 hacker搞定你朋友的gaccount...知道你的wifi 密码。。然后呢。。
【在 z*n 的大作中提到】
: ...我真心建议你应当对于自己不大明白的东西先想想查查再评论。 你这说法从技术上
: 讲是错误的。
: 所有这些东西都最终bound到g account的credential上,只要这个credential被第三方
: 知道,所有这些算法,UI问题只是使第三方读到这明码时费一些事情,从保密强度看就
: 是0, 等于裸奔。 比如如果有g account credential, 第三方可以用软件模拟一个
: restore, 服务器方没有办法区分,也无从保护。
: 这缺陷/漏洞的问题就是把两个密码的安全性取了个min, 在我的例子里,我再怎么保护
: 我自己的密码也没用, hacker进入我的内网的麻烦程度就是搞定我任何一个朋友的
: gaccount.
|
z*n
发帖数: 2893 | 55 !@#$, 你缺乏这方面的知识, 请不要妄言. 你那个link是"密码学"wiki, 这简直笑死人
了. 和你说了认为算法能藏起来, 藏起来就安全了在技术上是错误的. 只要attacker有
你的gaccount credential, 无论Android系统再怎么藏算法, 保密强度是0, 和明码无
异.
和你说了有这个credential, 可以直接写个软件模拟个restore拿到你所有backup的数
据, 还麻烦找个电话???
要物理接触才能hack, 和只要远程知道你的gaccount password就能hack, 这是完全不
一样的security threat. again, 你没有这方面的知识, 请不要妄言.
有没有GG懂技术的帮忙给这位同学科普一下? 观点不一样可以理解, 这么基础的技术问
题还没搞清楚就出来谈安全问题有些过了.
【在 d*******3 的大作中提到】
: 照你这么说google早就应该破产了。去科普一下的应该是你。
: “所有这些算法,UI问题只是使第三方读到这明码时费一些事情,从保密强度看就
: 这个是多么可笑,要真是这样那等于说所有的信息都是由一个相对很简单的密码来保护
: 着,多么弱啊。那就不会有密码学这一个学科了。
: 就算你拿到credential把手机restore了,你只能用这台手机来连接wifi,是没法知道
: 密码的,更不可能等于裸奔。
: 另外这种未知的算法破解几乎不可能,除非有漏洞。我劝你还是先去科普一下密码学的
: 知识,
: http://zh.wikipedia.org/zh-cn/%E5%AF%86%E7%A0%81%E5%AD%A6
: "hacker进入我的内网的麻烦程度就是搞定我任何一个朋友的 gaccount."这句说的没错
|
z*n
发帖数: 2893 | 56 我同意你的说法, 这个漏洞的问题是把所有运行backup的Android设备降到了很多人能
接受的密码安全范围之外.
我们没有必要争论wifi密码是不是有价值,这不是作为要求用户上传密码方有资格考虑
的事情.
就象我说的, 如果你的wifi password需要保密,你的朋友用Android并且使用backup,
你的风险是你任何一个朋友的gacccount被hack, 你的密码对于这个hacker就是明码.
如果不能接受这个风险, 唯一的方法是不要给任何用Android朋友上你的wifi.
我不信任GG能正确处理我的电话号码,这2-step verification的先决条件不存在.我
的gmail是专门用来收junk mail的, 它的价值和我愿意付出的隐私代价是相当的. 你
不能强迫我为了个专门收junk mail的免费帐号把我自己的电话告诉广告商吧?
【在 S********t 的大作中提到】
: 我觉得本质上的漏洞是你把密码告诉朋友,这件事情是本质上是把一个你认为安全级别
: 高的信息share给安全级别低(达不到你对安全级别要求,并且你无法控制)的人。
: 如果你对密码安全很敏感,你的正确做法是设独立的guest wifi pwd
: 你自己也知道,密码安全性很重要的原则是如果你用一个密码A去保护另外一个密码B,
: B的安全性是取了个min。至于Google,我就问你,开启了2-step verification的
: Google account的安全性,比你自己家的wifi password的安全性要高很多,这个你同
: 意?
|
z*n
发帖数: 2893 | 57 如果往坏里想GG, GG街景车就不仅能象从前被抓住的那次只收集没加密的wifi上的信息
, 连加密
的都不能幸免...
【在 D*****I 的大作中提到】
: hacker搞定你朋友的gaccount...知道你的wifi 密码。。然后呢。。
|
t***s
发帖数: 4666 | 58 what are you talking about? why do you need a phone number?
plus, Google knows you phone number if you use android I suppose.
Just stop using android if you don't trust Google.
【在 z*n 的大作中提到】
: 我同意你的说法, 这个漏洞的问题是把所有运行backup的Android设备降到了很多人能
: 接受的密码安全范围之外.
: 我们没有必要争论wifi密码是不是有价值,这不是作为要求用户上传密码方有资格考虑
: 的事情.
: 就象我说的, 如果你的wifi password需要保密,你的朋友用Android并且使用backup,
: 你的风险是你任何一个朋友的gacccount被hack, 你的密码对于这个hacker就是明码.
: 如果不能接受这个风险, 唯一的方法是不要给任何用Android朋友上你的wifi.
: 我不信任GG能正确处理我的电话号码,这2-step verification的先决条件不存在.我
: 的gmail是专门用来收junk mail的, 它的价值和我愿意付出的隐私代价是相当的. 你
: 不能强迫我为了个专门收junk mail的免费帐号把我自己的电话告诉广告商吧?
|
z*n
发帖数: 2893 | 59 2-step verification? 如果没给GG,进入gmail会要求知道你的phone number.
搞没搞错, 我说过很多次我不信任GG处理用户隐私, 唯一用的gmail是收junk mail的
.说了半天就是说以后不能给来家里的用Android朋友用我的wifi,否则不知不觉间我的
wifi密码就可能被朋友无意间上传给GG了.
【在 t***s 的大作中提到】
: what are you talking about? why do you need a phone number?
: plus, Google knows you phone number if you use android I suppose.
: Just stop using android if you don't trust Google.
|
g*****g
发帖数: 34805 | 60 最简单就是google一把密钥,你一把密钥加密。内容要解,需要丢失备份文件,丢失两
把密钥,加密算法还要让人知道了。难度有点大。当然微软的五毛不懂不奇怪。
【在 d*******3 的大作中提到】
: 照你这么说google早就应该破产了。去科普一下的应该是你。
: “所有这些算法,UI问题只是使第三方读到这明码时费一些事情,从保密强度看就
: 这个是多么可笑,要真是这样那等于说所有的信息都是由一个相对很简单的密码来保护
: 着,多么弱啊。那就不会有密码学这一个学科了。
: 就算你拿到credential把手机restore了,你只能用这台手机来连接wifi,是没法知道
: 密码的,更不可能等于裸奔。
: 另外这种未知的算法破解几乎不可能,除非有漏洞。我劝你还是先去科普一下密码学的
: 知识,
: http://zh.wikipedia.org/zh-cn/%E5%AF%86%E7%A0%81%E5%AD%A6
: "hacker进入我的内网的麻烦程度就是搞定我任何一个朋友的 gaccount."这句说的没错
|
|
|
d*******3
发帖数: 6550 | 61 难道搞定你电话就不能远程?你这思路也狭窄了一点。所以你说的问题和Google没有本
质关系。
你换成任何手机,你把wifi密码给朋友,他都有可能手机被人远程hack, 你要是不信任
你朋友就不要给他密码,但不要怪到Google的wifi sync上,至少你说的这个例子关系
不大。
有个保险箱有一个门,可能被破解,然后旁边加了一个同样的门,你就说这个保险箱有
漏洞,能被破解的概率变大了,这对吗?
【在 z*n 的大作中提到】
: !@#$, 你缺乏这方面的知识, 请不要妄言. 你那个link是"密码学"wiki, 这简直笑死人
: 了. 和你说了认为算法能藏起来, 藏起来就安全了在技术上是错误的. 只要attacker有
: 你的gaccount credential, 无论Android系统再怎么藏算法, 保密强度是0, 和明码无
: 异.
: 和你说了有这个credential, 可以直接写个软件模拟个restore拿到你所有backup的数
: 据, 还麻烦找个电话???
: 要物理接触才能hack, 和只要远程知道你的gaccount password就能hack, 这是完全不
: 一样的security threat. again, 你没有这方面的知识, 请不要妄言.
: 有没有GG懂技术的帮忙给这位同学科普一下? 观点不一样可以理解, 这么基础的技术问
: 题还没搞清楚就出来谈安全问题有些过了.
|
d*******3
发帖数: 6550 | 62 破解你手机要你号码干嘛,只要你用手机上网,理论上都是可以破解的。所以以后你不
能给任何人wifi密码,因为他们手机都有可能被破解,和上不上传没多大关系。
【在 z*n 的大作中提到】
: 2-step verification? 如果没给GG,进入gmail会要求知道你的phone number.
: 搞没搞错, 我说过很多次我不信任GG处理用户隐私, 唯一用的gmail是收junk mail的
: .说了半天就是说以后不能给来家里的用Android朋友用我的wifi,否则不知不觉间我的
: wifi密码就可能被朋友无意间上传给GG了.
|
s***i
发帖数: 600 | 63 一大群google黑在这唧唧歪歪讲什么呢?
总结一下, G黑说你把wifi密码给了朋友,然后被朋友吧手机上的密码backup了。朋友
的google account不很安全,被盗了就知道你的WIFI密码了。
所以g黑要求的feature是:你把密码给了朋友,但是要求这个密码只能被朋友用,任何
人hack了朋友的东西,都拿不到你的密码。
醒醒吧,这个无解。
【在 t***s 的大作中提到】
: the weakest link here is the trust you put on your friends.
|
s***i
发帖数: 600 | 64 你确认你用iphone的朋友不backup给他的密码?
你确认没人能从你朋友的Iphone上拿到你给他的密码?
【在 z*n 的大作中提到】
: 2-step verification? 如果没给GG,进入gmail会要求知道你的phone number.
: 搞没搞错, 我说过很多次我不信任GG处理用户隐私, 唯一用的gmail是收junk mail的
: .说了半天就是说以后不能给来家里的用Android朋友用我的wifi,否则不知不觉间我的
: wifi密码就可能被朋友无意间上传给GG了.
|
z*n
发帖数: 2893 | 65 https://t-mobile.jive-mobile.com/#jive-document?content=%2Fapi%2Fcore%2Fv1%
2Fdocuments%2F4168
"If you replace your phone, you can restore the data you've previously
backed up, the first time you sign in with same Google Account you used
previously on a backup."
第二个密钥是啥?
酒井出来的连这个"藏算法"保护强度是0都不明白?
【在 g*****g 的大作中提到】
: 最简单就是google一把密钥,你一把密钥加密。内容要解,需要丢失备份文件,丢失两
: 把密钥,加密算法还要让人知道了。难度有点大。当然微软的五毛不懂不奇怪。
|
z*n
发帖数: 2893 | 66 这个是观点其实是正确的, 但和我们讨论的问题无关. 这就是我说的反正你上印度公车
有可能被搞, "理论上讲"有各种不同的方法搞定你的衣服, 但这不是裸奔的理由.
所有这些OS的基本要求就是sandbox是安全的, 如果你知道Android能被远程hack, 请给
出reference, 这样即便是Android fix了这个backup漏洞, 也不符合大部分人心中的安
全要求, 那时候恐怕就不是不能给朋友wifi密码的问题, 是要从家里踢出去所有
Android设备的问题了.
【在 d*******3 的大作中提到】
: 难道搞定你电话就不能远程?你这思路也狭窄了一点。所以你说的问题和Google没有本
: 质关系。
: 你换成任何手机,你把wifi密码给朋友,他都有可能手机被人远程hack, 你要是不信任
: 你朋友就不要给他密码,但不要怪到Google的wifi sync上,至少你说的这个例子关系
: 不大。
: 有个保险箱有一个门,可能被破解,然后旁边加了一个同样的门,你就说这个保险箱有
: 漏洞,能被破解的概率变大了,这对吗?
|
z*n
发帖数: 2893 | 67 你的观点明显是错误的.
你朋友拿到你的密码后直接post到BBS上作为自己的backup, vs.你朋友拿到密码后和他
的bank account密码放在一起, 严加保护, 这对于你的危险程度明显是不一样的.
朋友的设备使用你的无线网是经常发生的事情, 这是需要有安全考虑的.
实际的要求是朋友的设备/密码保存方式符合你心里对密码保护的最低要求. 如果
Android的OS安全性不是摆设, 如果Android能避免把gaccount和wifi密码联系起来(这
是所讨论的这个漏洞的关键), 加朋友的设备和加你自己一个新的设备没啥区别.
hacker需要知道gaccount和物理访问这个手机才能break in, 这当然不是完全安全, 但
是要比任何一个朋友gaccount有个weak password, hacker就能远程restore出你的密码
安全多了.
【在 s***i 的大作中提到】
: 一大群google黑在这唧唧歪歪讲什么呢?
: 总结一下, G黑说你把wifi密码给了朋友,然后被朋友吧手机上的密码backup了。朋友
: 的google account不很安全,被盗了就知道你的WIFI密码了。
: 所以g黑要求的feature是:你把密码给了朋友,但是要求这个密码只能被朋友用,任何
: 人hack了朋友的东西,都拿不到你的密码。
: 醒醒吧,这个无解。
|
f*******5
发帖数: 10321 | 68 没人建议lz把backup关了,然后该wifi密码啊?!!
什么永久保存啊?google员工也不可能随便接触production data。
【在 m******t 的大作中提到】
: 连密码都给backup了,包括wifi的密码。感觉就像在google员工面前裸奔一样啊。
|
z*n
发帖数: 2893 | 69 如果GG员工有问题, 那麻烦会比这个大得多, 理论上他知道你是谁, 住哪里,每时每刻
在什么位置... 我们只能认为GG员工都没有问题和信任GG内部的安全机制.
我去查了一下网上关于这个问题的讨论, 发现早就有人提出过这backup的安全问题:
http://www.mobilejaw.com/articles/2011/06/security-concerns-aro
一年半前的事情了, 那blog说这会影响Android进入enterprise, 要不GG员工给反映一
下?
【在 f*******5 的大作中提到】
: 没人建议lz把backup关了,然后该wifi密码啊?!!
: 什么永久保存啊?google员工也不可能随便接触production data。
|
g*****g
发帖数: 34805 | 70 你有点常识没有?我说的是数据库数据泄漏。重要数据本身可以用ISP的密钥跟用户的
密钥进行双重加密。那可不是一个算法的问题,ISP的密钥是拿不到的。所以CSDN那样
所有用
户密码被解的事情不会出现。我老以前第一手做安全邮件系统的,PKI的一些算法都实
现过,能不比你懂?
个人密码都丢了,自然登录进去就可以看所有数据。我的gmail还有很多文件记录了从
SSN到工资的所有隐私,做refi都要给。扫描一份发给agent了事,难道还特地开车过去?
真担心自己的wifi密码丢了,路由上加个简单的mac whitelist即可,朋友要用wifi加
上去,用完了再弄掉就得。有wifi密码都连不上去,这点常识都没有,真丢人。
【在 z*n 的大作中提到】
: https://t-mobile.jive-mobile.com/#jive-document?content=%2Fapi%2Fcore%2Fv1%
: 2Fdocuments%2F4168
: "If you replace your phone, you can restore the data you've previously
: backed up, the first time you sign in with same Google Account you used
: previously on a backup."
: 第二个密钥是啥?
: 酒井出来的连这个"藏算法"保护强度是0都不明白?
|
|
|
z*n
发帖数: 2893 | 71 至于这个security问题, 第二个key在什么地方? 这问题网络上一年多前就有人指出
了,自己去看. http://www.mobilejaw.com/articles/2011/06/security-concerns-aro
我本来想说white list其实不安全,因为GG明显知道MAC address.后来看见你加了个"
用完再弄掉"...这确实是安全的,也算个workaround.
去?
【在 g*****g 的大作中提到】
: 你有点常识没有?我说的是数据库数据泄漏。重要数据本身可以用ISP的密钥跟用户的
: 密钥进行双重加密。那可不是一个算法的问题,ISP的密钥是拿不到的。所以CSDN那样
: 所有用
: 户密码被解的事情不会出现。我老以前第一手做安全邮件系统的,PKI的一些算法都实
: 现过,能不比你懂?
: 个人密码都丢了,自然登录进去就可以看所有数据。我的gmail还有很多文件记录了从
: SSN到工资的所有隐私,做refi都要给。扫描一份发给agent了事,难道还特地开车过去?
: 真担心自己的wifi密码丢了,路由上加个简单的mac whitelist即可,朋友要用wifi加
: 上去,用完了再弄掉就得。有wifi密码都连不上去,这点常识都没有,真丢人。
|
d*******3
发帖数: 6550 | 72 我说的android能被hack是理论上的,和windows电脑一样也可以远程被hack,我能想到
简单的就是想办法让你下载一个木马,然后获得权限,这个理论上对各个能联网的操作
系统都可行。当然这种方法不能算操作系统的漏洞,很大一部分责任应该在使用操作系
统的人身上。
这个和你说的gaccount被hack也类似,gaccount现在应该是没有已知的漏洞吧,有的话
应该也会尽快修复。那很如果gaccount被盗,很大一部分是因为密码太简单或者通过别
的渠道泄露,这个大部分责任也在使用人身上。
所以这样的话你所说的问题主要是出在你所谓的朋友身上,wifi sync在里面没起什么
大的影响。但是wifi sync确实给不少人带来了方便,你觉得呢
【在 z*n 的大作中提到】
: 这个是观点其实是正确的, 但和我们讨论的问题无关. 这就是我说的反正你上印度公车
: 有可能被搞, "理论上讲"有各种不同的方法搞定你的衣服, 但这不是裸奔的理由.
: 所有这些OS的基本要求就是sandbox是安全的, 如果你知道Android能被远程hack, 请给
: 出reference, 这样即便是Android fix了这个backup漏洞, 也不符合大部分人心中的安
: 全要求, 那时候恐怕就不是不能给朋友wifi密码的问题, 是要从家里踢出去所有
: Android设备的问题了.
|
z*n
发帖数: 2893 | 73 我觉得你还在那个圈里自己和自己绕, 我真心建议你坐下来仔细想一想. 我已经反复和
你解释争论物理机器如何hack, 争论有多少种密码保护方式是没有意义的. 如果你不能
有这些基本的技术常识, 咱们根本就没有共同的语言讨论这个问题.
这个漏洞的问题是凭空把wifi密码的安全性和gaccount的安全性联系到了一起. 以前我
们只需要关心物理机器的漏洞, 现在加在其上的还要关心gaccount的安全性. 这是个全
新的attack surface.
你一直在两个不搭边的观点上绕. 当然local machine可以被hack, 但这不是能凭空增
加attack surface的理由. 就好比在印度被XX, 你的衣服会被搞定, 这可能性的存在不
是天天裸奔的理由.
你第二个观点是gaccount是安全的, 不安全是个人责任, 你仔细想想这能是任何凭空增
加attack surface的理由? 反过来讲, 已经有无数实例说明用户可以多么容易的导致
gaccount安全问题, 这个backup漏洞还特意帮助把更多的critical information往沟里
引?
你这个等于是说, 印度的公车是安全的, 只要你上车时注意一下车上是不是有
流氓... 只要你上公车注意事项全遵守了, 印度根本没有XX问题. 我真心给你的建议是
根本别去那鬼地方转悠, 告诉你去那里安全的是害人.
至于2-step verification, 我告诉你很多次了, 这需要我的电话号码, 我不信任一个
靠收集用户信息作为商业模式的公司. GG从我的电话号码很轻易能知道我这个email
account后面具体是谁, 这不是我愿意为这个专门收junk mail的帐户付出的个人信息代
价.
要不你再想想?
【在 d*******3 的大作中提到】
: 我说的android能被hack是理论上的,和windows电脑一样也可以远程被hack,我能想到
: 简单的就是想办法让你下载一个木马,然后获得权限,这个理论上对各个能联网的操作
: 系统都可行。当然这种方法不能算操作系统的漏洞,很大一部分责任应该在使用操作系
: 统的人身上。
: 这个和你说的gaccount被hack也类似,gaccount现在应该是没有已知的漏洞吧,有的话
: 应该也会尽快修复。那很如果gaccount被盗,很大一部分是因为密码太简单或者通过别
: 的渠道泄露,这个大部分责任也在使用人身上。
: 所以这样的话你所说的问题主要是出在你所谓的朋友身上,wifi sync在里面没起什么
: 大的影响。但是wifi sync确实给不少人带来了方便,你觉得呢
|
c*c
发帖数: 2983 | 74 wifi密码的安全性和gaccount的安全性联系到了一起?????
难道hack了你的wifi密码就hack了你的gaccount?
我觉得你跟那个小波有的一拼,整天就是阴谋论,我的隐私怎么怎么被侵犯,某些公司
怎么怎么无耻。你又不是范冰冰,谁鸟你的隐私啊,就算有人公布了你的生日,性别,
工作单位,每天买什么东西大家也懒得去看。真要看这东西,微博twitter上天天有人
发流水账,谁care啊,都是些attention whore罢了
【在 z*n 的大作中提到】
: 我觉得你还在那个圈里自己和自己绕, 我真心建议你坐下来仔细想一想. 我已经反复和
: 你解释争论物理机器如何hack, 争论有多少种密码保护方式是没有意义的. 如果你不能
: 有这些基本的技术常识, 咱们根本就没有共同的语言讨论这个问题.
: 这个漏洞的问题是凭空把wifi密码的安全性和gaccount的安全性联系到了一起. 以前我
: 们只需要关心物理机器的漏洞, 现在加在其上的还要关心gaccount的安全性. 这是个全
: 新的attack surface.
: 你一直在两个不搭边的观点上绕. 当然local machine可以被hack, 但这不是能凭空增
: 加attack surface的理由. 就好比在印度被XX, 你的衣服会被搞定, 这可能性的存在不
: 是天天裸奔的理由.
: 你第二个观点是gaccount是安全的, 不安全是个人责任, 你仔细想想这能是任何凭空增
|
l******n
发帖数: 1683 | 75 WEP是密码可以直接算出来, WPA是只能暴力的去猜, 就这么点差别而已.
【在 z*n 的大作中提到】
: are you sure? 我怎么记得WPA/WPA2 with AES是安全的? 可能出问题的是WEP和WPA/
: TKIP?
: 为了这个我特意在router端选的AES.
: 有没有出处让我研究研究。
|
z*n
发帖数: 2893 | 76 !@#$, 废话啊,啥密码不能暴力的去猜? 还这么“点”差别?
和你说了WEP, WPA/TKIP不安全是well known, WPA/AES据我所知是安全的,所谓的能随
便算出密码是扯蛋。
说WPA不安全的,请给个reference。
【在 l******n 的大作中提到】
: WEP是密码可以直接算出来, WPA是只能暴力的去猜, 就这么点差别而已.
|
z*n
发帖数: 2893 | 77 又是一个不怕裸奔的...
我对于123的offer对你也有效。如果你真不”鸟你的隐私“, 我愿意出10伪币买,
deal?
【在 c*c 的大作中提到】
: wifi密码的安全性和gaccount的安全性联系到了一起?????
: 难道hack了你的wifi密码就hack了你的gaccount?
: 我觉得你跟那个小波有的一拼,整天就是阴谋论,我的隐私怎么怎么被侵犯,某些公司
: 怎么怎么无耻。你又不是范冰冰,谁鸟你的隐私啊,就算有人公布了你的生日,性别,
: 工作单位,每天买什么东西大家也懒得去看。真要看这东西,微博twitter上天天有人
: 发流水账,谁care啊,都是些attention whore罢了
|
