Lesspass: FQDNではなくドメインのみを取得する可能性

作成日 2017年08月07日 · 30コメント · ソース: lesspass/lesspass

RMLLが終了したので、Lesspass Moveは問題ないようです。（願わくば）バージョン1がまもなく削除されるので、問題＃199を再度開きます。

要約は次のとおりです。Webサイトを選択する機能を提供できますか。

ドメインのみ（例：グーグル）
ドメインとtld（例：google.com）<-＃45でLesspassに導入されたが、＃148で削除されたオプション
FQDN（例：accounts.google.com）<-拡張機能の現在の唯一のオプション

ソース

Kcchouette

最も参考になるコメント

@ panther2おもしろい
たぶん、これを構成可能にすることができます。

したがって、基本的には今日のデフォルトを維持します。
そして、サブドメインとwwwを削除するオプションを追加します

guillaumevincent 2017年09月11日

👍4

全てのコメント30件

現在のFQDN実装からのリグレッションが必要な理由がわかりません。
しかし、FQDNがデフォルトであり、デフォルトのままであり、削減（実装されている場合）がオプションになる限り、気になりません。

SoftwUser 2017年08月07日

😕1

@Kcchouette

私の発言についてあなたを混乱させるものについて質問/議論することを躊躇しないでください、
それはかなり明確ではありませんか？

https://github.com/lesspass/lesspass/issues/199#issuecomment -292981113で、デフォルトとしてFQDNに投票しました。したがって、少なくともこの側面に関しては同意します！

SoftwUser 2017年08月11日

「現在のFQDN実装からのリグレッション」ステートメントについて混乱しています。

この問題は、Webサイトのアドレスを選択するためのいくつかのオプションを追加することを目的としています。

Kcchouette 2017年08月12日

@Kcchouette
LessPassがどのように機能するかを理解している限り、 siteフィールド（およびその他）に入力された情報は、パスワードを計算するための（追加の）ソルトとして使用されます。
したがって、文字がaccounts.google.comからgoogle.comまたはgoogleのみに削減された場合、これは塩分とエントロピーが少なくなることを意味します。
そのため、私はこれを「現在のFQDN実装からのリグレッション」と呼んでいます。

また、今日はオプションがあります。FQDNから不要な文字を削除するだけです。
siteフィールドに必要な文字を自由に追加/削除できます。

SoftwUser 2017年08月12日

@SoftwUser塩の長さが重要かどうかは

これについてはすでに説明しました。

ドメインのみ（例：グーグル）<-ドメイン名の大きなリストなしでは見つけるのは難しい
ドメインとtld（例：google.com）<-＃45でLesspassに導入されたが、＃148で削除されたオプション<-tldリストなしでは見つけるのが難しい
FQDN（例：accounts.google.com）<-拡張機能の現在の唯一のオプション

私たちが簡単にできる唯一の簡単な改善は、サイトがwww.始まる場合、サイトからwww.を削除することです。
v3が必要になるため、この機能をデフォルトとして導入したくありません。新しいバージョンはセキュリティリークに限定する必要があります。

たぶん、これを構成オプションに追加できます。
https://github.com/lesspass/lesspass/issues/245に関連

guillaumevincent 2017年08月16日

👍1

@guillaumevincent

塩の長さが重要かどうかはわかりません。生成されたパスワードが盗まれた場合（つまりmyspace）、すでにサイト（つまりmyspace.com）を取得しています。

計算されたパスワードだけでなく、マスターパスワードについても心配しています。
accounts.google.com 、 google.comまたはgoogleがプロセスで使用されている場合、違いがありますね。

とにかく、FQDNを減らすためのオプションを追加するだけのソリューションは合理的であるように思われます。ありがとうございました。

SoftwUser 2017年08月16日

@guillaumevincent
＃272のせいで、私はこの問題に（再び）つまずきました。

現在のアプローチがより短いものに縮小または「フィルタリング」された場合、私は非常に不幸になります。
「サイト」フィールドに含めることができる限り多くの情報に満足していますが、デフォルトでそれを減らす必要がある理由がわかりません。

次のようなユースケースがあります。

www.1.example.com
www.2.example.com
www.3.example.com

1,2,3は異なるサーバーですが、ログイン名は同じです。
FQDNが異なるため、必要に応じて3つの異なるパスワードを取得します。
これらがexample.com削減された場合、私のユースケースはすぐに壊れました。

ですから、デフォルト側では、今日のままにしてください！

私はあなたの上記の声明を読んでうれしいです：

v3が必要になるため、この機能をデフォルトとして導入したくありません。新しいバージョンはセキュリティリークに限定する必要があります。

ただし、v3が存在する場合は、デフォルトでFQDNに触れないでください。削減/フィルタリングするオプションを提供し、それを強制しないでください。 wwwも削除しないでください。 FQDNはバグではなく機能だと思います。

また、 @ SoftwUserが上記で述べたように、サイト名を短くしたい人は誰でも、今日でも不要な文字を手動で削除できます。これは、手動で文字を追加するよりもエラーが発生しにくいです。

panther2 2017年09月11日

@ panther2おもしろい
たぶん、これを構成可能にすることができます。

したがって、基本的には今日のデフォルトを維持します。
そして、サブドメインとwwwを削除するオプションを追加します

guillaumevincent 2017年09月11日

👍4

たぶん、これを構成可能にすることができます。
したがって、基本的には今日のデフォルトを維持します。
そして、サブドメインとwwwを削除するオプションを追加します

素晴らしい、ありがとう！

panther2 2017年09月11日

前に＃199を開いたときに言ったように、オプションは私にとって完璧であり、それをテストしたいと思います。

@guillaumevincent
あなたは私たちがチェックできる古典的なオプションか、独自の正規表現などのより高度なものだけだと思いますか？

このオプションを事前に感謝します

kidburglar 2017年09月15日

@kidburglarどのオプションが必要ですか？ www.削除しますか、それともドメイン名のみを削除しますか？

guillaumevincent 2017年09月15日

@guillaumevincentドメイン名の例だけを保持するものが好きです
doc.domain.com => domain.comを保持します

しかし、正規表現の可能性を追加できれば、誰にとってもより柔軟になると思います

kidburglar 2017年09月15日

サブドメインを削除するオプションは素晴らしいでしょう！

私がそれを非常に役立つと思うさまざまなユースケースがあります：

Webサイトは、サブドメインを新しいバージョンで更新する場合があります。例：example.com/fr-> fr.example.com;
example.comとwww.example.comは通常、同じサイトを指しています。
多くのサイトはサブドメインを使用していますが、認証は同じです。つまり、mail.google.comとdrive.google.com、またはtex.stackexange.comとmath.stackexange.comです。
サブドメインがコンテキストに依存する場合があります（例：example.comとm.example.com）。

私は実際に手動でサブドメインを削除して間違いを防ぎますが、多くのユーザーの認証の問題を防ぐために、デフォルトで実際の動作を維持します。 ;）

roipoussiere 2017年09月16日

@kidburglarと@ roipoussiere〜FQDN〜ドメインのみを取得する簡単な解決策はありません。
そのためには、TLDのリストが必要です。

私はTLDリストのアイデアが好きではありません。理由は次のとおりです。

新しいTLDが発生するたびにリストを強制的に更新します
1つの機能に対してのみKBを大量に追加する

guillaumevincent 2017年09月17日

👍1

リストはすでにhttps://data.iana.org/TLD/tlds-alpha-by-domain.txt（10,2kB）、https：//publicsuffix.org/list/public_suffix_list.dat（196 kB）によって作成されています。またはライブラリ、例：https：//github.com/oncletom/tld.js 。

Kcchouette 2017年09月17日

@guillaumevincent

FQDNは、実際にはlesspassが現在行っていることです。
https://chrome.google.com/webstore/search/lesspass => chrome.google.com in lesspass

ドメインを取得するには、最後の2つの要素を「。」で区切るだけです。
lesspassでそれを行う方法はわかりませんが、bashの例の方が明確になるかもしれません。
文字列を元に戻すためにrevを使用しているので、発生回数を確認する必要はありませんが、確かにもっと良いものがあります。

# site.tld => site.tld
echo 'site.tld' | rev | cut -d '.' -f1,2 | rev
# my.super.site.tld => site.tld
echo 'my.super.site.tld' | rev | cut -d '.' -f1,2 | rev

kidburglar 2017年09月17日

ドメインを取得するには、最後の2つの要素を「。」で区切るだけです。

@kidburglarこれは真実ではありません。複数のドットを含む人気のあるTLDがあることを理解してください。たとえば.co.uk 。

echo 'https://www.bbc.co.uk/' | rev | cut -d '.' -f1,2 | rev

@Kcchouette LessPassは、すでに
おそらく、alexaから最も訪問された上位100万のサイトにTLDのリストを作成できます。

guillaumevincent 2017年09月18日

@guillaumevincent
私はほとんどの拡張機能がこのアイデアを使用していると思います（私は他のテストはしていませんが、以前のアプリケーションのパスワードメーカーがそれを使用していました）。
=> http://passwordmaker.org/passwordmaker.html

正規表現オプションについてどう思いますか？

kidburglar 2017年09月18日

拡張機能のほとんどがこのアイデアを使用していると思います

@kidburglarこの主張はよく

正規表現オプションについてどう思いますか？

複雑なことに、ターゲットはパワーユーザーのみになります。

今のところ解決策：

Alexaのランク付けされたサイトに基づいて人気のあるTLDの小さなリストを作成します。
サブドメインなしでのみドメイン名を取得するオプションを追加します。

guillaumevincent 2017年09月18日

@guillaumevincent
サイトに小さなリストがない場合はどうなりますか？
私が前に言ったようなフォールバック？

kidburglar 2017年09月18日

@kidburglarはいおそらく

guillaumevincent 2017年09月18日

ちょっと待ってください...

では、ここでのポイントは何ですか？

すべてのユーザーは、LessPassを使用して数千のドメインのリストをダウンロード、インストール、およびロードするように強制されますが、一意のユーザーはごく一部しか使用しませんか？
そして、唯一の利点は、これらの特定のユースケースで不要な文字をいくつか削除するために、単一の「サイト」フィールドでdelを数回押す必要がないことです。

私はこれを正しく解釈しますか？

SoftwUser 2017年09月18日

@SoftwUser
私はそれがウェブ拡張機能にあるリストのように理解しています。
私の場合、それは「デルを数回打つ」だけでなく、どのWebサイトに注意する必要があるか、どのエントリポイントからサブスクライブしたかを覚えておく必要があります...
そしてそれがオプションであるならば、私はそれがこの機能を使わない他の人々のために何かを変えるかどうかわかりません。

kidburglar 2017年09月18日

👍1

@SoftwUserは人気のあるドメイン名のリストではなく、最も人気のあるTLDのリストのみです

['com', 'org', 'co.uk', ...]

guillaumevincent 2017年09月18日

@SoftwUser最近、フランスの財務省であるimpots.gouv.fr使用例がありました。この場合、新しいパスワードを設定するページのFQDNは、他の場所で使用されているものcfspart.impots.gouv.frとは異なります。基本的に、別のサブドメイン。 .gouv.frはパブリックサフィックスであるため、両方のサイトがimpots || .gouv.fr下で同じパスワードを共有する必要があります。

問題は、 delを数回ヒットする必要がないことではありません。ドメイン名の背後にある概念をユーザーに説明する必要がないこと、およびパスワードを生成する前にサブドメインの一部を編集する理由と方法について説明します。

@guillaumevincent public_suffix_list.datは、明らかにすべて有効なサフィックスであるため、すべてのICANNドメインを削除することで、すでに軽量化できます。これにより、少なくとも、新しいトップレベルドメインの登録が開始されることによる増加が制限されるはずです。これはtld-list.jsで行われたこと

serianox 2017年10月07日

👍1

@serianoxはい、それらのケースは存在します。ただし、これは、FQDNを含む作成された数百のパスワードをすでに管理しているユーザーのリグレッションを正当化するものではありません。特別なシナリオに出くわした新しいユーザーについて考えるだけではいけません。それらの既存のユーザーについても考えてください。
ドメイン/サブドメインの概念をユーザーに説明する理由はありません。
パスワードの作成方法はユーザーに決めてもらいましょう。そして、デフォルトでそれをカットしないでください！

とにかく、 @ guillaumevincentの上記のステートメントに気付いてうれしいです。回帰はオプションです（https://github.com/lesspass/lesspass/issues/258#issuecomment-328555486）。だから誰もが幸せになることができます。

SoftwUser 2017年10月07日

@SoftwUser同意しました。これにより、既存の動作が変更されることはありません。たとえば、V2の場合はオプション、V3の場合はデフォルトの動作になる可能性があります。

serianox 2017年10月07日

...おそらくV3のデフォルトの動作。

痛い、 @ serianox 、 https： //github.com/lesspass/lesspass/issues/258#issuecomment-328520490を無視しないでください

私たちはその議論をしました、そしてそれはここで解決されましたhttps://github.com/lesspass/lesspass/issues/258#issuecomment -328555486

panther2 2017年10月07日

lesspassはデフォルトでプライバシーを使用し、オフラインでスタンドアロンで動作することを望んでいることを忘れないでください。したがって、サードパーティを追加することは私にとってはダメです。したがって、代替案は、ビルドにTLDリストを含め、それを最新の状態に維持し、ユーザーのパスワードを破らないようにすることです…

@guillaumevincentこれはテスト可能だと思いますか？

あなたの問題のための@serianox 、現在あなたはこのシナリオを管理する2つの方法があります：

サイトを自分で覚えて、手動で埋め戻します。
接続モードを使用し

edouard-lopez 2017年10月09日

前回のバージョンの提案ボックスのおかげで、これを閉じます。
screenshot from 2018-04-07 21-43-44

guillaumevincent 2018年04月07日

❤1 👍1

このページは役に立ちましたか？

0 / 5 - 0 評価

Lesspass: FQDNではなくドメインのみを取得する可能性

最も参考になるコメント

全てのコメント30件

関連する問題