- как и /или в чем хранить локально(желательно без сторонних либ) пароли к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs contra- какие варианты ?
> - как и /или в чем хранить локально(желательно без сторонних либ) пароли
> к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs
> contra- какие варианты ?https://www.evpo.net/encryptpad
>> - как и /или в чем хранить локально(желательно без сторонних либ) пароли
>> к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs
>> contra- какие варианты ?
> https://www.evpo.net/encryptpadХм, контекст скорее был в контексте разработки софта
- хранить пароли учетных аккаунтов приложения - минимизация движений, в идеале plain-text
- обезопасить файл от чтения другими приложениями из под текушего аккаунта пользователя, какие-то штатные ср-ва на уровне ОС(*nix) есть и/или еще какте костыльные варианты ??вот этот второй пункт, гложет мысли
P.S.:
мысли в слух, 0777 - что-то тесновато..
> ср-ва на уровне ОС(*nix)Это что такое ?
>> ср-ва на уровне ОС(*nix)
> Это что такое ?"средствами ОС"
грубо говоря - флаг и список приложений с явным разрешенным доступом(поверх парадигмы 0xXXX) к файлу:
например:
/home/user/.app/password.storage
доступ может иметь на RW(X) только: app, mc(vi,emacs, nano),
вcе остальное заупущеное от лица user`a идет лесом
>>> ср-ва на уровне ОС(*nix)
>> Это что такое ?
> "средствами ОС"Ну и какой конкретно ОС ? Рискну предложить попробовать sasl, раз уж приложение подразумевается быть сетевым и запускаемое гдепопало.
>>>> ср-ва на уровне ОС(*nix)
>>> Это что такое ?
>> "средствами ОС"
> Ну и какой конкретно ОС ? Рискну предложить попробовать sasl, раз уж
> приложение подразумевается быть сетевым и запускаемое гдепопало.SASL внесли в блокнот на предмет потестить, хм, что-то с колегами упустили еще LDAP и прочее...
Все же пока остановились на вeлосипедной схеме, привилегии root`a дают больше пр-ва для различных маневров в реализации хотелок заказчика..
> и прочее...радиус всегда был хорош если что в блокнот
А keepass уже не кошерно?
> - как и /или в чем хранить локально(желательно без сторонних либ) пароли
> к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs
> contra- какие варианты ?В общем, в рамках 0xXXX парадигмы мини-драма закончена, отсановились на схеме:
- [ root <=> stage daemons ] <=> app, etc.
- unix, named pipes
- 5 func. in public api
- app & appeditor in allowed app(s)
- CLOC: 1k( 2k c обвязкой)
- TIME: 1 * 2.78 monthВсем успехов в НГ.
> - unix, named pipes- unix sockets, named pipes, ...
> - как и /или в чем хранить локально(желательно без сторонних либ) пароли
> к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs
> contra- какие варианты ?Криптоконтейнер смонтированный как файловая система. Там plain-text файлы.
Их можно читать глазами,
копировать фрагменты в буффер (даже в два, и вставлять по Ctrl-V и по средней кнопке мыши),
делать на них символические ссылки из мест где лежит конфигурация не интерактивного софта .
>> - как и /или в чем хранить локально(желательно без сторонних либ) пароли
>> к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs
>> contra- какие варианты ?
> Криптоконтейнер смонтированный как файловая система. Там plain-text файлы.
> Их можно читать глазами,
> копировать фрагменты в буффер (даже в два, и вставлять по Ctrl-V и
> по средней кнопке мыши),
> делать на них символические ссылки из мест где лежит конфигурация не интерактивного
> софта .По входным условиям вылазит бяка - в виде браузеров и подобно-прочей любопытной нечисти..(
Необходима минимальная доп. проверка - в RT прозрачно для пользователя...
Крипто поставим в дальнейшем как опцию..
>> - как и /или в чем хранить локально(желательно без сторонних либ) пароли
>> к сетевым аккаунтам сейчас правильно(ей), в этом году - pro- vs
>> contra- какие варианты ?
> Криптоконтейнер смонтированный как файловая система. Там plain-text файлы.
> Их можно читать глазами,
> копировать фрагменты в буффер (даже в два, и вставлять по Ctrl-V и
> по средней кнопке мыши),
> делать на них символические ссылки из мест где лежит конфигурация не интерактивного
> софта .Storage выходит не совсем smart, вернее не совсем смарт - придется "докручивать" проверк(и) в системные уилиту(ы) RT проверки pid инициатора запроса его ppid и проче-подобное - хотя как вариант(сценарий) с крипто контейнера тоже внесем в блокнот..
> Storage выходит не совсем smart, вернее не совсем смарт - придется "докручивать"
> проверк(и) в системные уилиту(ы) RT проверки pid инициатора запроса его ppid
> и проче-подобное - хотя как вариант(сценарий) с крипто контейнера тоже внесем
> в блокнот..Не smart-ность, в данном случае, достоинство. И модель угроз на виду, и если всё сломается то руками всё вытащить тривиально.
Контроль над тем, кто какой файл читать может я не делал, но смотрел бы в сторону Apparmor или Selinux. Это если не изолировать процессы по разным UID, тогда можно былобы обычными атрибутами POSIX обойтись.Офисному юзеру не пойдёт, ему придётся организовать рабочий процесс так, чтобы исключить подобную потребность.