Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Software
Keychain Access
2. října 2006, 00.00 | Na dnešek jsme si slíbili, že si řekneme trochu více o aplikaci Keychain Access ("Svazek klíčů"): pojďme se tedy na ni blíže podívat. Při té příležitosti si samozřejmě také ukážeme malinko více podrobností a zajímavých věcí o samotných keychainech.
V minulém dílu našeho seriálu o bezpečnosti při práci s operačním systémem Mac OS X jsme si rámcově vysvětlili co to vlastně je keychain ("klíčenka", přiznám se, že raději užívám anglického termínu, byť mne splavnost textu nezřídka nutí jej brutálně skloňovat). Řekli jsme si také k čemu keychain využívá operační systém a mnoho aplikací – jak těch od firmy Apple, tak i 3rd party, neboť služby pro přístup ke keychainu jsou samozřejmě volně k dispozici programátorům prostřednictvím standardních knihoven.
Na dnešek jsme si slíbili, že si řekneme trochu více o aplikaci Keychain Access ("Svazek klíčů"): pojďme se tedy na ni blíže podívat. Při té příležitosti si samozřejmě také ukážeme malinko více podrobností a zajímavých věcí o samotných keychainech.
Keychainy
Aplikace Keychain Access je prostě editorem keychainů, stejně, jako je aplikace TextEdit editorem textových souborů či dejme tomu aplikace iMovie editorem filmů. Jak již víme odminula, keychainy nejsou ničím jiným nežli soubory; v aplikaci Keychain Access můžeme tyto soubory vytvářet, otevírat, měnit i rušit. Kromě toho samozřejmě můžeme keychain alternativně smazat ve Finderu stejně, jako kterýkoli jiný soubor – připomeňme, že naše vlastní keychainy jsou uloženy ve složce "~/Library/Keychains" (podobně můžeme keychainy běžným způsobem, tedy obyčejným zkopírováním, zálohovat – a měli bychom to rozhodně občas dělat, neboť údaje, uložené v keychainech, bývají často velmi důležité).
V aplikaci Keychain Access ovšem nenajdeme standardní skupinu služeb pro práci s dokumenty: je zde sice příkaz "New Keychain", nicméně příkazy "Open", "Save", "Open Recent" a podobně bychom hledali marně. To proto, že ačkoli keychain opravdu není ničím jiným než obyčejným souborem, operační systém (či přesněji řečeno knihovny, věnované právě práci s keychainy) potřebuje mít o keychainech zvláštní přehled: chce-li kupříkladu aplikace Safari vyplnit webový formulář, musejí knihovny znát všechny naše keychainy, aby je mohly prohledat a vyplnit formulář údaji z kteréhokoli z nich.
Proto aplikace Keychain Access kromě jiného spravuje také seznam keychainů; vidíme jej neustále v levém horním rohu jejího okna:
a měnit jej můžeme pomocí služby "Edit / Keychain List" a jejích tlačítek "+" (jež do seznamu přidá nový keychain, jenž jsme kupříkladu předtím ručně přikopírovali z jiného počítače) a "-" (jež keychain ze seznamu – nikoli z disku – odstraní):
Zamykání keychainů
Kterýkoli keychain můžeme kdykoli zamknout – pak do něj nebude mít přístup nikdo a nic, dokud jej (vložením jeho hesla) opět neodemkneme. Zamknout keychain můžeme kdykoli přímo z aplikace Keychain Access: podívejte se na předminulý obrázek, kde je vidět v levém horním rohu ovladač pro uzamknutí právě vybraného keychainu; kromě toho je v nabídce "File" k dispozici také příkaz "Lock All Keychains" pro uzamčení všech keychainů, jež aplikace Keychain Access spravuje.
Prostřednictvím příkazu "Edit / Change Settings for Keychain..." si můžeme vyžádat otevření panelu, jehož prostřednictvím si můžeme vyžádat automatické zamykání:
Obecně se dá říci, že pro všechny keychainy je automatické uzamykání rozumné, vyjma keychainu standardního, v němž udržujeme pouze poměrně málo významné, ale zato často používané údaje – bylo by kupříkladu velmi nepohodlné, kdybychom nastavili automatické uzamykání po minutě pro ten keychain, v němž máme přístupové heslo k poštovnímu serveru POP3: aplikace Mail by pak při každém pokusu o načtení pošty ze serveru znovu otvírala panel pro vložení hesla... Ale k tomuto se ještě vrátíme, až budeme s aplikací Keychain Access hotovi, a budeme si říkat různé tipy pro co nejbezpečnější a nejpohodlnější práci s keychainy.
Jednotlivé položky
Klepneme-li myší na název některého keychainu, v pravé části okna se zobrazí jeho položky; v levém pruhu pod seznamem keychainů si můžeme vybrat, zda chceme vidět všechny položky nebo pouze ty zvoleného typu (třeba jen poznámky – "Secure Notes").
Kteroukoli položku si můžeme zobrazit v detailu, pokud na ni poklepeme; aplikace Keychain Access se podle potřeby optá na heslo, jímž je keychain chráněn – nemusí se ptát vůbec, je-li obsah položky veřejný (certifikát), může se optat i vícekrát, je-li keychain uzamčen –, a zadáme-li je správně, ukáže nám obsah položky. Zde můžeme obsah – dává-li to pro položku daného typu – i měnit.
Při vkládání hesla se navíc můžeme rozhodnout, zda si pro větší pohodlí keychain "zapamatuje", že heslo pro tuto položku známe, a příště nám ji již ukáže rovnou a bez zdržování ("Always Allow") – nebo zda pro větší bezpečnost po nás bude heslo chtít pokaždé znovu ("Allow Once"):
Dále pak u hesel (nikoli u poznámek, k nimž aplikace nepřistupují – vytváříme a čteme je sami přímo prostřednictvím aplikace Keychain Access, a také nikoli u certifikátů, jež jsou veřejné) můžeme přímo řídit, které aplikace a za jakých podmínek mají ke konkrétní položce přístup.
Po otevření položky prostě přepneme panel, v němž je položka zobrazena, do režimu "Access Control". Opět se můžeme – podle důležitosti konkrétního údaje – rozhodnout pro vhodný kompromis mezi pohodlím a bezpečností: zvolíme-li "Allow all applications...", bude moci kterákoli aplikace kdykoli obsah této položky číst (není-li keychain uzamčen – k tomu se zanedlouho vrátíme). Chceme-li však vyšší bezpečnost, vyžádáme si individuální přístup: přepneme na "Confirm before...", a knihovny pro přístup ke keychainům se automaticky postarají o to, že přístup k údaji nebude mít žádná aplikace vyjma těch, jež explicitně uvedeme v seznamu v panelu (standardně zde je pouze ta aplikace, jež záznam vytvořila; seznam ovšem můžeme libovolně změnit):
Navíc můžeme pro nejvyšší zabezpečení zapnout také přepínač "Ask for Keychain password"; v takovém případě dokonce i aplikace, jež mají na přístup k položce právo, nebudou moci její obsah načíst dokud uživatel explicitně nezadá heslo keychainu.
Samozřejmostí je, že systémové knihovny si nepamatují aplikace jen "podle jména", ale udržují si potřebné informace k tomu, aby zabránily přístupu k chráněným datům aplikaci, jež by mohla být napadena virem (přesto, že pro Mac OS X žádný virus neexistuje a v principu ani existovat nemůže). Poznáme to po update systému: pokusí-li se o přístup k údajům v keychainu aplikace, jejíž kód byl updatován, systémové knihovny uživatele varují a dříve, než přístup umožní, si vyžádají jeho explicitní potvrzení.
Příště...
... budeme samozřejmě ještě v práci s aplikací Keychain Access pokračovat.
Obsah seriálu (více o seriálu):
- Je to bezpečné?
- Základy zabezpečení Mac OS X
- Identifikace a autorizace
- Jak je to s administrátory
- Šifrování
- Co jsou to ty šifry?
- Černý vzadu, podpisy, a vůbec...
- Certifikáty
- Kde vzít certifikát?
- Certifikát Thawte
- Keychain
- Keychain Access
- Kolik keychainů máš, tolikrát jsi paranoikem
- Lepší konfigurace keychainů
- Jeden na neděli, jeden na všední den...
- WEP or weep
- AirPort a nastavení bezdrátové sítě
- WEP and weep...
- Externí router
- Slušný člověk nešifruje!
- Je ve vězení bezpečno
Tématické zařazení:
» Rubriky » Tipy a Triky