1Password CLI Vulnerability (2023)
Исследователь обнаружил уязвимость в CLI-клиенте 1Password (op), позволяющую злоумышленникам получать доступ к хранилищу паролей после однократного ввода мастер-пароля пользователем. Уязвимость была ответственно раскрыта через BugCrowd в октябре 2023 года, а публикация разрешена в январе 2024. Основная проблема — CLI остаётся авторизованным до перезагрузки системы, что создаёт риски в supply-chain атаках.
Два основных вектора атаки: через IDE-расширения и через инструменты разработчика. Например, вредоносное расширение темы или плагина может использовать авторизованный сеанс op для перечисления и эксфильтрации всех доступных хранилищ. Уязвимость подтверждена на последних версиях macOS с оболочками zsh и bash, подчеркивая важность осторожности при установке стороннего ПО.
Комментарии (38)
- Пользователи выражают обеспокоенность тем, что CLI 1Password предоставляет полный доступ ко всем хранилищам после однократной аутентификации, что создает риск при выполнении недоверенных скриптов.
- Обсуждается, является ли это уязвимостью или ожидаемым поведением, так как при выполнении произвольного кода на машине пользователя злоумышленник может получить доступ к данным и другими способами.
- Отмечается, что ответственное раскрытие уязвимости было проведено через BugCrowd в октябре 2023 года, а публикация была авторизована только в январе 2024 года.
- В качестве меры защиты предлагается использовать отдельные сервисные аккаунты для CLI с ограниченным доступом только к необходимым секретам.
- Некоторые пользователи критикуют 1Password за использование устаревших версий Electron, что может вызывать проблемы с производительностью и безопасностью.
Track which Electron apps slow down macOS 26 Tahoe
Проект Shamelectron отслеживает проблемы с производительностью GPU в Electron-приложениях на macOS Tahoe. Основная проблема связана с ошибкой в macOS 26, которая вызывает значительное падение производительности графического процессора. Решение уже найдено — необходимо обновить Electron до версий v38.2.0, v37.6.0 или v36.9.2.
Из 21 отслеживаемого приложения только шесть исправлены, а 15 всё ещё имеют проблемы. Среди популярных приложений с неисправленными версиями — 1Password, Discord, Figma, Notion и Obsidian. Пользователям предлагается напомнить разработчикам через Twitter о необходимости обновления, чтобы решить проблему с производительностью.
Комментарии (97)
- Electron использовал приватный API Apple для косметических улучшений окон, что привело к проблемам производительности в macOS Tahoe.
- Проблема затрагивает не только Electron-приложения (например, Zoom), но и вызывает системные сбои в различных приложениях и интерфейсах.
- Баг уже исправлен в последних версиях Electron, но многим приложениям требуется обновление для устранения проблемы.
- Пользователи критикуют переход некоторых приложений (например, 1Password) с нативных технологий на Electron, отмечая ухудшение качества и высокое потребление ресурсов.
- Обсуждаются альтернативы Electron (например, Tauri) и предлагаются способы выявления проблемных приложений.
Passkeys and Modern Authentication
Passkeys и современная аутентификация
Armin Ronacher, 2 сентября 2025
Индустрия стремится отказаться от паролей в пользу passkeys (WebAuthn). Это в целом полезно для обычных пользователей, но стандарт содержит подводные камни.
Аттестации
Аттестация позволяет сайту узнать, какое именно устройство используется: аппаратный ключ или программный менеджер. Австрийское правительство, например, запрещает вход в налоговую и медицинские сервисы без аппаратного токена из «белого списка». Apple и Google не передают аттестацию в своих потребительских решениях, но делают это для корпоративных MDM. Такой механизм уже используется для ограничения выбора устройств.
Блокировка в экосистеме
Нет способа экспортировать приватные ключи между менеджерами паролей. Приходится регистрировать каждое устройство заново. Попытка открытого менеджера добавить экспорт была признана небезопасной. Уходя из экосистемы Apple, я обнаружил, что десятки сервисов привязаны к iCloud-passkey; без подписки на iCloud переход на Android затруднён. Платные решения вроде 1Password доступны не всем.
Скрытая регистрация
Passkeys часто создаются автоматически. Amazon после каждого входа тихо предлагает добавить passkey, показывая лишь запрос отпечатка. Пользователи даже не замечают, что «подписались». Если у вас устройства разных платформ, вы можете оказаться привязаны сразу к нескольким экосистемам, что затруднит полный переход.
Корпорации как хранители
Люди ежедневно теряют доступ к Google-аккаунтам без объяснений и вместе с ними — ко всем связанным сервисам. Апелляций нет. Попытка восстановить доступ к аккаунту умершего ребёнка в Facebook превратилась в бюрократический кошмар. Чем сложнее система, тем труднее семьям получить доступ при утрате или смерти. Даже вход со стороннего устройства стал мучением: приходится прыгать между приложениями и потоками.
Сложность и посредники
Любительские эксперименты «с нуля» всё труднее: OAuth вытеснил простые логины-пароли, а теперь на смену приходят passkeys.
Комментарии (77)
- Пользователи жалуются на головную боль при входе в свои аккаунты с устройств детей: 2FA, passkeys и смена prepaid-номеров всё усложняют.
- Основной упрек passkeys — «закрытые сады» Apple/Google и невозможность экспортировать ключи; это ограничивает свободу выбора экосистемы.
- Часть сообщества считает запрет экспорта «фичей» безопасности, другие требуют хотя бы зашифрованный экспорт и возможность регистрации нескольких passkey на один сервис.
- Практики безопасности в целом одобряют passkeys как способ избавиться от паролей, но признают, что UX и переходный период пока болезненны.
- Дешёвые или бесплатные решения (Keepass, Bitwarden) остаются популярной альтернативой платным менеджерам, особенно в малообеспеченных семьях.