Come proteggere gli appunti di macOS?

È possibile per un'app di terze parti accedere al contenuto degli appunti di macOS? Sto chiedendo in relazione a copiare e incollare dati sensibili come password e contenuti di file sensibili.

macos copy-paste

— hello.wjx
fonte

Benvenuti a chiedere diverso. Sfortunatamente, la tua domanda non ci fornisce dettagli sufficienti per aiutarti. Leggere come porre una domanda può aumentare le possibilità di ottenere una buona risposta. Per ora, puoi modificare la tua domanda (sotto c'è un link di modifica ) per aggiungere informazioni come: (1) Quale versione di macOS stai utilizzando? (2) Se usi macOS Sierra, ti riferisci solo agli appunti normali, agli appunti universali o ad entrambi? (3) Quando ti riferisci ad app di terze parti , cosa intendi realmente con questo?

— Monomeeth

Piuttosto che chiudere questo come troppo ampio, ho rimosso il tuo follow on question. Consulta il Centro assistenza e i commenti sopra prima di chiedere come modificare gli Appunti. Ciò ci consentirà di migrare le domande a livello di codice su un sito appropriato se stai cercando di programmare qualcosa invece di configurare il sistema operativo.

— bmike

beh per una cosa che sicuramente non puoi copiare + incollare nulla in una casella di password su macOS ...

— dalearn

@dalearn Per essere più precisi, puoi incollare IN una casella di password, ma non puoi copiare DA una casella di password. So di aver spesso copiato le password dall'accesso Portachiavi alle caselle di immissione della password.

— Barmar,

È una domanda valida Non importa quale versione di OS X / macOS. Il significato di terze parti è molto chiaro a chiunque.

— Pratik,

Risposte:

Non è possibile garantire la sicurezza dei dati contenuti in uno degli Appunti di sistema.

Gli appunti di macOS sono cartelloni pubblici aperti a tutti i processi. Gli Appunti sono il meccanismo che consente a tutte le app di leggere / modificare i dati condivisi.

In pratica puoi limitare il tuo set di app installate a quelli di cui ti fidi con i dati che hai inserito negli Appunti o non limitare i contenuti sensibili non posizionandoli mai negli Appunti in modo che l'app meno affidabile ottenga solo dati che puoi permettergli di vedi / log / capture / exfiltrate.

Da qui, la tana del coniglio per gli sviluppatori e le persone attente alla sicurezza che usano macOS inizia con una panoramica delle opzioni di inserimento di testo sicuro all'interno dei programmi per impedire ai registratori di chiavi oltre agli snoopers di pasteboard di ottenere input sicuri:

Nota tecnica TN2150: utilizzo corretto dell'ingresso sicuro degli eventi
voce della tastiera non sicura - un post sul blog di Daniel Jalkut
Quanto è sicura la "voce tastiera protetta" nel terminale di Mac OS X?

Ci sono alcune cose che puoi fare, tuttavia, per mitigare questo. Un software disponibile e affidabile può mostrarti tocchi di eventi, keylogger, esfiltrazione e solo tentativi di comunicazione in modo da poter catturare un programma che potrebbe fare cose che non ti aspetti.

ReiKey e LuLu sono due con cui vorrei iniziare per proteggere te stesso e quindi il contenuto degli appunti.

— bmike
fonte

@SargeBorsch È a questo che servono generalmente i gestori di password. Mi aspetto che ci siano gestori di password sicuri per Mac OS; anche se mi aspetto anche che le applicazioni con lo stesso o più alto livello di autorizzazioni possano intercettare anche i loro metodi.

— Luaan,

@SargeBorsch - Anche i difetti di sicurezza involontari passano inosservati nei backdoor e nei trojan malevoli e molto meno reali. L'idea che qualsiasi vecchio utente sia in grado di ispezionare il codice di qualsiasi software non banale che utilizza, quindi costruirlo sulla propria macchina una volta che è noto per essere sicuro - dopo averlo fatto per il compilatore, ovviamente - è completamente ridicolo, e contraddittorio con la pratica reale. (Vale a dire usare repository di pacchetti con pacchetti firmati, il che significa che ti fidi implicitamente dei contributori di una distribuzione di occupartene.)

— millimoose

@SargeBorsch: vedi il discorso / conferenza sull'accettazione del Turing Award incredibilmente geniale (e spaventoso) di Ken Thompson e la loro discussione sul wiki .

— Jörg W Mittag,

@ JörgWMittag come è legato ai gestori di password? Stai provando a provare che, poiché sistema operativo, CPU, compilatori, ecc. Potrebbero essere compromessi, la qualità / disponibilità del codice sorgente di altri software non ha importanza?

— Visualizza nome

@Wowfunhappy Una password in testo semplice significa che devi proteggere l'accesso fisico al tuo Mac e fidarti di tutte le app che leggono gli appunti. Se il tuo modello di minaccia è che non ti fidi delle tue app e del tuo accesso - devi usare UBIKEY o l'autenticazione a più fattori e presumere che la password perda. Tutto è un rischio e se è completamente aperto dipende dal tuo modello di minaccia specifico.

— bmike

Qualsiasi processo con autorizzazioni sufficienti può leggere i tuoi appunti in qualsiasi momento e non puoi impedirlo facilmente. La sicurezza è sempre un compromesso con l'usabilità, e questa è la scelta che la maggior parte dei sistemi operativi (ma non tutti) prendono quando implementano gli Appunti.

Alcune app che memorizzano dati sensibili (ad esempio 1Password ) implementano un timeout in modo tale che qualsiasi informazione copiata da tale applicazione venga cancellata dagli appunti poco tempo dopo. Se desideri fare qualcosa del genere a livello globale, potresti cercare le risposte a questa precedente domanda di idee.

— calum_b
fonte

È importante sottolineare che cancellando i contenuti sensibili noti su un timer, si limita l'intervallo di tempo in cui è possibile avviare un processo meno affidabile e si fa lo snoop sul testo dagli Appunti. Ciò riduce anche il rischio che qualcuno si allontani da un computer e abbia la password per incollare ore dopo in Twitter o altri social media.

— bmike