Mastodon
Zdjęcie okładkowe wpisu 1Password 8 – firma zmienia kierunek, na gorsze!

1Password 8 – firma zmienia kierunek, na gorsze!

12
Dodane: 3 lata temu

Korzystam z 1Password od ponad 11 lat. Sprawdziłem. To prawdopodobnie najważniejsze i najbardziej cenione przeze mnie narzędzie, dbające o bezpieczeństwo moich danych, synchronizujące się pomiędzy wieloma urządzeniami i jednocześnie zapewniające świeżą dostawę kodów 2FA, gdy są wymagane. Niestety, firma zdecydowała się na zmianę kursu i zamiast natywnej aplikacji będziemy zmuszeni korzystać z Electrona. Alternatywa jest jednak prosta – przesiadka na coś innego. Jeśli tego mało, to niektórych zapewne zawiedzie fakt, że 1Password przechodzi też w całości na model subskrypcyjny…


Ten artykuł pochodzi z archiwalnego iMagazine 9/2021


Subskrypcja

1Password wkrótce przejdzie na model opierający się wyłącznie o subskrypcję. Ten trend, zapoczątkowany przez Apple’a, ma swoje plusy i minusy. W przypadku niektórych usług ma to naprawdę sens, szczególnie jeśli można coś „wynająć” tylko na okres, w którym potrzebujemy danego app. Przykładowo, codziennie korzystam z Tweetbota i nie mam problemu z tym, żeby płacić za niego te 20 zł rocznie, ale gdybym wpadał raz w miesiącu, to raczej przesiadłbym się na Twittera. W każdym razie w przypadku software’u najczęściej rozważam subskrypcje roczne, bo kiedyś mniej więcej tak często pojawiały się nowe wersje danego oprogramowania, które trzeba było kupić za podobne pieniądze. Różnica polega na tym, że po tym roku można było (często) nadal korzystać bez upgrade’u. W przypadku subskrypcji tak nie jest.

AgileBits, firma stojąca za 1Password, całkowicie zawaliła sprawę w kwestii płatnych upgrade’ów. W ogóle powinniśmy się cieszyć, że dzisiaj jeszcze istnieją. Spodziewam się, że mieli po prostu na tyle dużo nowych klientów, że nie czuli, że potrzebują obciążać istniejących płatnymi update’ami. To oznacza, że w ciągu wspomnianych 11 latu zapłaciłem chyba dwukrotnie za licencję. Dwukrotnie! A chętnie płaciłbym rokrocznie.

Tak czy siak. 1Password akurat pasuje do tego modelu i ma sporo zalet z tym powiązanych, w tym konta rodzinne, w których można współdzielić się loginami pomiędzy użytkownikami do wspólnych kont, np. takiego Netfliksa. Innych zalet jest sporo, ale wady też się znajdą, bo z tego, co zauważyłem…

Standalone vaults

… to znikną też tzw. standalone vaults, czyli zbiory naszych haseł, które są lokalnie trzymane i które nie są synchronizowane przez internet.

Podjęcie takiej decyzji jest co najmniej kuriozalne, bo 1Password dobrze wie, że to wyklucza możliwość wykorzystywania ich produktu przez wielu użytkowników i wiele korporacji, które mają absolutny zakaz synchronizacji takich danych przez internet.

Electron

Powyższe problemy, jakkolwiek nie będą wpływały na wielu, nie są dla mnie specjalnym problemem. Przejście na Electron już tak.

Electron to opensource’owy framework dla software’u, który w ogromnym skrócie umożliwia pisanie jednego kodu, działającego potem na wielu różnych systemach operacyjnych. Jeśli znacie chociażby Slacka lub Discorda, to znacie Electron. Charakteryzuje się przede wszystkim zdecydowanie większym zapotrzebowaniem na zasoby komputera – RAM, CPU itp. – z powodu pracy na silniku Chromium. W dużym skrócie jest to web-app opakowany w papier, żeby ładniej wyglądał. Agile Bits chwalą się też swoim nowym backendem napisanym w Rust, który ma być superwydajny, ale ten backend nie pomoże w ociężałości Electrona za wiele.

Electron źle integruje się z OS-ami na wielu poziomach, od Dostępności / Accessibilty, poprzez fonty, skróty klawiszowe, aż po tysiące innych drobnych rzeczy. Przykładowo Discord przez wiele tygodni u mnie na Macu nie działał prawidłowo i był praktycznie nieużywalny, bo wykorzystali jakiś systemowy skrót klawiszowy – nie pamiętam teraz jaki, ale wykorzystywany przez Safari. Jako ciekawostkę podpowiem, że Slack pożera u mnie więcej RAM-u niż Microsoft Flight Simulator 2020. Do tego jeszcze dochodzi kolejny element układanki, czyli możliwość adaptacji nowych funkcji systemów operacyjnych, np. Touch ID. 1Password miał takowe wsparcie praktycznie od początku, ale na Electronie to nie byłoby możliwe i m.in. dlatego konkurencja potrzebowała wielu miesięcy, a czasami ponad roku, aby takie wsparcie dodać. Na deser zostaje najważniejsze – potencjalnie zmniejszone bezpieczeństwo, bo Electron otwarty jest na nowe rodzaje ataków.

Hasta la vista, baby

Niestety, powyższy zbiór cech Electrona powoduje, że absolutnie pod żadnym pozorem nie będę w stanie zaakceptować takiego software’u na moim komputerze. To jednocześnie oznacza szukanie sensownej dla mnie alternatywy, którą „automagicznie” w tym roku w końcu zaprezentuje iCloud Keychain, który otrzyma wsparcie dla generowania kodów 2FA. Przypominam też, że od niedawna jest dla niego wsparcie na Windows 10. 1Password robi dla mnie oczywiście więcej, bo przetrzymuje karty kredytowe, licencje do oprogramowania i loginy do serwisów, gdzie były kupione, czy też szyfrowane notatki z najważniejszymi informacjami. Wiele z tych rzeczy jednak da się zastąpić połączeniem iCloud Keychain z systemowymi Notatkami, gdzie od jakiegoś czasu możemy zabezpieczać notatki dodatkowo hasłami. Niestety, nie znalazłem na rynku żadnego innego narzędzia, któremu byłbym w stanie zaufać i który jest natywną aplikacją.

Zadyma wokół 1Password jest ogromna i wszędzie w internecie głośno o błędnych decyzjach firmy. Nawet śmieją się już, że powinni zmienić nazwę firmy z Agile Bits (Zwinne Bity), na Rusty Bits (Zardzewiałe Bity).

Coś się kończy, coś się zaczyna… I chyba jedynym plusem tej ogromnej wtopy Agile Bits jest to, że iCloud Keychain jesienią powinien stać się sensowną alternatywą dla 1Password. Lepiej nie mogli się wstrzelić z tak głupim ogłoszeniem. Teraz pozostaje jeszcze „jechać” po nich tak długo, aż pójdą po rozum do głowy i cofną swoją decyzję.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .

Komentarze: 12

„Całościowo na model subskrypcyjny” 😂, tymczasem ja dalej nie płacę żadnej subskrypcji 🤭. Nie zauważyłem też absolutnie żadnego pogorszenia mojego UX związanego z przejściem na Electron, ale ciiii 🤫

W subskrypcję 1Password poszedłem już chyba prawie 2 lata temu więc to mi akurat wisi. Ale elektronowej mendy też nienawidzę. Zwłaszcza w takich narzędziach, które siedzą na stałe w systemie, muszą szybko pokazać swój skromny GUI. Podobno twórcy tłumaczyli, że chcieli przejść na SwiftUI ale sprawia jeszcze zbyt duże problemy. Przejdą gdy przestanie. Ja się zastanawiam czego takiego takiego oni tam potrzebują do zrobienia prostego GUI w 1Password. Przecież to jest jedna lista z oknami z w miarę typowymi kontrolkami. 🤔 Skoro i tak kiedyś w przyszłości mają przejść na SwiftUI to jako rozwiązanie tymczasowe można było utrzymywać aktualny UI, a nie wprowadzać to elektronowe bagno. Dziwna decyzja… Miejmy nadzieję, że faktycznie tymczasowa.

Jest coś takiego jak “Raport ujawnionych haseł”, ale z tego co widzę dostepny tylko przez weba. Sama appka na macOS jest w Elctronie :)
Niemniej dla mnie przy wyborze tego typu produktu jednak kwestia przejrzystości ma krytyczne znaczenie. Bitwarden jest Open-source.

Choć przyznam że 1Password podoba mi się bardziej. Z pkt widzenia estetyki UI.

Jak sprawdzić które aplikacje zostały zbudowane w oparciu o Electron?
W terminalu wpisać polecenie: find /Applications -name ‘*.asar’ -print
U mnie wyskoczyły następujące aplikacje:
/Applications/Adobe Dimension/Adobe Dimension.app/Contents/Resources/app.asar
/Applications/Adobe Dimension/Adobe Dimension.app/Contents/Resources/electron.asar
/Applications/Adobe Dimension/Adobe Dimension.app/Contents/Resources/default_app.asar
/Applications/WhatsApp.app/Contents/Resources/app.asar
/Applications/Microsoft Teams.app/Contents/Resources/app.asa

I jak pod względem bezpieczeństwa wygląda teraz WhatsUp i Teams?

/Applications/Signal.app/Contents/Resources/app.asar

lol!

Właśnie rykłem śmiechem, bo się okazał gdy komenda “find /Applications -name ‘*.asar’ -print” wywaliła mi tego jegomościa: “/Applications/Signal.app/Contents/Resources/app.asar”

sam sobie musisz sobie odpowiedzieć na pytanie czy na ile podatność Electrona będzie miała wpływ na podatność innych aplikacji stworzonych w oparciu o niego…
Za artykułem Electrolint and security of electron applications:

[…] However, Electron applications are notoriously known to have security issues. Since they combine traditional web technologies with the code running on and having access to the operating system through the Node.js APIs, the security vulnerabilities can often escalate from a common client-side vulnerability, such as cross-site scripting, to a remote code execution. This has been demonstrated numerous times in popular desktop clients, such as Signal [2] and Discord [3] instant messaging and VoIP applications, Wire team collaboration application [4], and Symbol wallet application [5] to name a few.

sam sobie musisz sobie odpowiedzieć na pytanie czy na ile podatność Electrona będzie miała wpływ na podatność innych aplikacji stworzonych w oparciu o niego…
Za artykułem Electrolint and security of electron applications:

[…] However, Electron applications are notoriously known to have security issues. Since they combine traditional web technologies with the code running on and having access to the operating system through the Node.js APIs, the security vulnerabilities can often escalate from a common client-side vulnerability, such as cross-site scripting, to a remote code execution. This has been demonstrated numerous times in popular desktop clients, such as Signal [2] and Discord [3] instant messaging and VoIP applications, Wire team collaboration application [4], and Symbol wallet application [5] to name a few.

sam sobie musisz sobie odpowiedzieć na pytanie czy na ile podatność Electrona będzie miała wpływ na podatność innych aplikacji stworzonych w oparciu o niego…
Za artykułem Electrolint and security of electron applications:

[…] However, Electron applications are notoriously known to have security issues. Since they combine traditional web technologies with the code running on and having access to the operating system through the Node.js APIs, the security vulnerabilities can often escalate from a common client-side vulnerability, such as cross-site scripting, to a remote code execution. This has been demonstrated numerous times in popular desktop clients, such as Signal [2] and Discord [3] instant messaging and VoIP applications, Wire team collaboration application [4], and Symbol wallet application [5] to name a few.