Extensions et Touch ID sur iOS 8 : 1Password montre l’exemple
Avec la dernière version de développement de 1Password 4.6, AgileBits montre ce qu’il sera possible de faire avec les nouvelles APIs d’iOS 8. Ce gestionnaire de mots de passe profite particulièrement des extensions et de Touch ID, qui lui permettent de s’intégrer à Safari et de débloquer son trousseau du bout des doigts.
Entre autres choses, le système d’extensions permet à une application d’offrir des actions à une autre application. Dans iOS 8, 1Password peut ainsi offrir ses services de remplissage de mots de passe à Safari. Les actions apparaissent dans la section inférieure du menu de partage : dans la vidéo ci-dessous, l’utilisateur convoque 1Password pour récupérer ses identifiants Amazon.
Vous remarquerez qu’il utilise Touch ID plutôt que son mot de passe pour déverrouiller son trousseau : toutes les applications peuvent désormais exploiter le lecteur d’empreintes de l’iPhone 5s. Voilà qui fluidifie particulièrement les opérations, alors qu’aller chercher un mot de passe dans 1Password a toujours été particulièrement pénible.
Dans un cas comme dans l’autre, le système fait office d’intermédiaire. Les extensions opèrent dans un cadre très restreint et ne peuvent pas mettre en péril la stabilité ou la sécurité de l’application qu’elles « augmentent ». De même, les applications n’ont pas directement accès aux empreintes digitales : le système se charge de l’authentification et ne leur transmet rien de plus qu’une autorisation ou un rejet.
Trop hâte !
C'est pour moi LA nouveauté d'iOS 8 (les extensions Safari)
Autant utiliser le trousseau icloud!!!
1password permet de stocker en local et de synchroniser via usb
ou de synchroniser via son propre service en ligne
etc.
J'ai pas totalement confiance à l'accès de Touch ID pour les applications... Imagine déjà à la sortie de ios 8 facebook qui va intégrer Touch ID...
@MLV :
Ohlalq, quand on y connait rien on parle pas..
Les applications sont sandboxés, elle n'auront évidemment pas accès a ces données et de toutes manières sont stockées en local.
Alors "gnagnagna facebook c'est le mal, le demon, au revoir la vie privé et tout" on t'a pas de demandé de l'installer
Modéré par la rédaction (AZ)
le problème fondamental des services dit "cloud" ou "sociaux", n'est pas qu'ils vous attrapent et vous volent sauvagement vos infos, bien sur que non
Il y a DEUX problèmes fondamentaux:
Une fois vos infos donnés à ces services, vous ne pouvez compter QUE sur leur BONNE foi. En particulier si hébergé à l'Etranger. Par exemple la constitution des USA ne protège QUE les citoyens américains des abus de l'Etat. (non cela ne va pas de soi dans toutes les nations) ou autre.
Ils peuvent vous donner des réglages (mais ça peut se changer), vous donner une charte (qui n'engage que ceux qui la lisent), vous faire une licence (qui a valeur de contrat mais peut être amendé ou révoquée et vous n'aurez que le choix de l'accepter ou de partir), et vous proposer d'effacer MAIS RIEN ne vous prouvera que c'est effectivement effacé.
En fait, une information gênante (une connerie d'ado) peut potentiellement toujours ressortir, et au pire moment de votre vie (qui se compte au bas mot en décennie, ça laisse du temps pour tout imaginer)
Le 2e problème fondamental est typiquement celui des réseaux sociaux: Leur Modèle Business.
Il leur FAUT, par principe, vous encourager à donner toujours + mais surtout leur accorder le droit d'unifier et fusionner vos infos avec le RESTE (du monde) avec autant que possible votre identité réelle associée à elles (c'est ce qui leur donne de la valeur: une vraie personne).
C'est ainsi qu'elles font leur argent: en valorisant ces informations, permettant de les vendre ou de les utiliser pour cibler de la publicité ou autre idée.
Elles DOIVENT le faire: ce sont des entreprises privées qui ont une responsabilité légale envers leurs investisseurs (des gens qui ont mis leurs sous dedans quand même).
Elles jouent donc sur l'erreur (réglage compliqués qu'il y a fallu calmer à coup de menaces politiques (lois ou taxes géantes) ), la gaffe (oups! trop tard) et le j'm'en-foutisme ("hoaa des paranos").
Conclusion: on ne peut pas leur faire confiance, jour après jour elles inventeront subitement de nouvelles manières d'exploiter. Peut être des manières que vous n'auriez jamais accepter à l'avance.
-
Facebook a manipulé la timeline de 700 000 utilisateurs pour faire une étude sociologique.
pourquoi pas ? c'est pas le Mal Incarné de faire des études sociologiques, mais les gens avaient signé d'être potentiellement cobayes de laboratoires ?
Ce qui est important sont:
- la transparence
- le contrôle
en gros: les applications iOS stockent déjà des informations dans le Trousseau du système. Elles stockent des informations dans un "domaine" à leur nom dans le trousseau et ne peuvent lire et écrire que dans le domaine à leur nom.
Une app pourrait y stocker vos identifiants dans le trousseau et les récupérer quand nécessaire, mais le danger serait que si quelqu'un utilise votre iphone déverrouillé, il a aussi accès aux services qu'une app authentifierait.
Ce Trousseau peut être crypté et bloqué par une passphrase , mais quid alors de la commodité, s'il faut taper la passphrase à chaque accès au trousseau ?
La solution est que le trousseau soit crypté et bloqué par une passphrase ET Touch ID.
L'app demande un truc dans le trousseau, le système vérifie que l'empreinte touch id est correcte, décrypte le trousseau et donne le truc demandé par l'App depuis leur domaine.
L'app obtient ce dont elle a besoin, sans avoir eu connaissance de l'empreinte digitale, de la passphrase du trousseau ou de quoi que ce soit de +.
On y gagne en commodité, cela encourage les gens à mettre une passphrase gigantesque, et Facebook n'y gagne STRICTEMENT RIEN sur votre vie privée.
_RIEN_
Je me suis toujours posé la question de la sécurité offerte par l'enregistrement des mots de passe. Ne peut-on pas facilement créer un site web de toute pièce, qui se fait passer pour le site d'Amazon, et qui demande à Safari ou à 1Password à récupérer le fameux mot de passe ?
@pim :
Si et ça s'appelle du fishing. Mais c'est pas plus dangereux avec TouchID et 1Password que de se faire avoir et taper son mot de passe soi même.
c'est le PHishing
Pour contrer cela, faut d'avantage de règles et du bridage autour des noms de domaine (si on veut amazon.com FAUT que ça soit écrit AMAZON.COM et rien d'autre, ni aucun symbole ressemblant)
Touch Id ne change rien au phishing, ni il le facilite ni il le contre. Si vous autorisiez 1password a donner un identifiant à n'importe quoi, c'est fini (ou via un coller-coller manuel).
CEPENDANT
1password couplé à safari se sert du NOM DE DOMAINE de la page en cours pour ne proposer QUE le mot de passe du même DOMAINE.
Si vous utilisez 1password (ou le trousseau iCloud), vous êtes censé générer un mot de passe via eux lors de la création d'un compte sur le site.
L'identifiant créé est associé au NOM DU DOMAINE du site sur lequel vous créez un compte
Cela permet au trousseau iCloud et 1password de vous proposer les mot de passe enregistré QUE si vous êtes bien sur la page du DOMAINE des mots de passes.
Evitant ainsi les phishing à la amazone.com amazoon.com annazon.tv etc Ces sites n'étant pas du domaine AMAZON.COM, ils ne reçoivent pas les mots de passe enregistrés pour AMAZON.COM.
16€...
@stephmouss :
C'est clair. Largement.
ça les vaut
Tres fluide et reactif.
J'arrive pas non plus à comprendre l'intérêt de 1password par rapport au trousseau iCloud (si on se fiche du multi plateformes évidemment).
Sinon évidemment que Facebook n'aura pas accès à vos données d'empreinte. Même Apple dit ne pas y avoir accès, et je les imagine dire ça et faire l'inverse, tellement la protection des données est devenue leur avantage principal sur Google.
ben... le multi-plateforme :)
et 2, le choix sur comment synchroniser les machines (ou pas): cable , réseau local ou serveur à soi qu'on a.
Voici l’intérêt que j’y vois par rapport au trousseau iCloud:
Avec le trousseau, quand l’iPhone est déverrouillé n’importe qui peux accéder à vos comptes en ligne.
Donc si vous prêtez l’iphone…
Alors qu’avec 1Password, il faudra s’identifier pour se connecter à un site même si l’iPhone est déverrouillé.
@Zefram :
Je suis d'accord avec vous
Trop cool !! Ça c'est bon pour les personnes qui disait que avec iOS 8 1Password était mort
@Rez2a
Heu, la sauvegarde des licences des logiciels, une configuration poussée du nombre de chiffres, de symboles ou de majuscules dans un mdp, les notes sécurisées, la possibilité de synchroniser ses données en wifi, sur Dropbox, sur iCloud ou sur un Nas, et j'en passe.
Le trousseau d'Apple n'arrive pas à la cheville de 1P.