私が使用していキーリングライブラリを私のpythonアプリでパスワードを保存します。
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)そして、これは非常にうまく機能します。
パスワードはキーリングで安全であり、暗号化されていると思います。しかし、ユーザー名で取得できるので、他のアプリが同じことをできないのはなぜですか?
それはセキュリティ上のリスクではありませんか、何か不足していますか?
回答:
キーリングライブラリは、デスクトップ環境の標準キーリング、たとえばGNOMEキーリングを使用します。このキーリングは、ログインするとすぐにロックが解除されます。つまり、はい、あなたが実行する他のアプリケーションは、アプリケーションとともに保存したパスワードにアクセスできますが、これはキーリングの考え方です。他のユーザーとそのアプリケーションしてない。
「gnome-keyringセキュリティ哲学」を引用:
セキュリティシアターの例は、セキュリティコンテキスト(ユーザーセッションなど)で実行されている1つのアプリケーションが、同じセキュリティコンテキストで実行されている別のアプリケーションからの情報を何らかの形で保持できるという幻想を与えます。
そのノートusernameにset_password/ get_password機能は、アプリケーションを実行しているユーザーの名前に関連していない(すなわち、その鍵リングに使用されているユーザ)が、例えば等メールアドレス、データベース名、であってもよいが