[转帖]初探The Bat!的权限管理及密码安全
首先,先来看看The Bat!的密码安全性。<br><br>
我们知道,默认状态下,当我们在The Bat!中建立好一个帐号后,The Bat!会记住你的邮件帐号的密码,并在属性窗口中以“*”号显示出来。于是时间久了,我们可能会忘了自己的密码,怎么办呢?这时就可以利用“*”号密码查看软件到The Bat!中查看到密码。试验证明,在The Bat!中很容易做到,可见The Bat!对此并没有做特别处理,也就是说,The Bat!的思维就是防君子不防小人。 <br>
<br>
其次,The Bat!中似乎没有启动时需要密码的选项,而实际上,我们仍然是能够实现这一点的。在默认状态下,我们建立的每个帐号在The Bat!中都是具有管理员身份的,如果你没给任何帐号设置密码,那么启动的时候就是不需要密码。但是,如果你给任何一个帐号加上了密码保护,启动的时候就需要密码了。如果你用加了口令的帐号登陆,必须输入相应的密码,如果你用任意一个没有设置密码的帐号登陆,则口令为空即可。但是如果你要在这种状态下访问设置了密码的帐号,则仍然需要相应的密码。(注意,这里所说的帐号是指在TB中具有的帐号,而不是说你的email帐号)<br>
<br>
上面提到了帐号在The Bat!中具有身份权限。具体细节就在“选项”中的“网络和管理”,在这里不仅有计算机的工作方式设定,还有“权限”和“用户组”。在“权限”中,如果你当前的身份是管理员,你可以对任何已有的帐号修改其访问权限为管理员,或者是用户。对于用户身份的帐号,除了其本身默认的权限限制之外,这里还提供了一些其它可选的禁用动作。这样,对于多人在同一台机器上使用The Bat!来说,你可以轻松的对其加以限制,防止对方乱操作。<br>
<br>
在“用户组”中,你可以设置一个或者几个用户组,然后设置该组包含的用户,这样就更方便于管理了。要注意的是,这里所出现的用户,是你在“权限”中已经设置身份为“用户”的用户,而管理员身份的帐号是不会在这里出现的。对于一个用户组来说,你可以为这个用户组设置一个密码,这样,当你用这个用户组的名称、密码登陆之后,你就可以看到这个组内的所有用户了,但是,如果你登陆的时候是使用某个单独的用户帐号登陆,则只能看到这个用户帐号。而看不到其它的帐号,即使是属于同一个组。 <br>
<br>
稍有遗憾的是,The Bat!没有提供注销功能。这就是说,如果你需要在多帐号之间进行切换,只能是关闭The Bat!再重新启动。 <br>
<br>
使用中发现一个全局性的影响,就是即使我是以某个用户身份登陆,更改了语言设定之后,则所有的帐号,包括管理员帐号的软件界面也都会随之而更改。 <br>
<br>
需要提到的是,如果你是以某个组的名称和密码登陆,而这个组中的成员却具有不同的权限,这时你所具有的当前权限是以该组中权限最低的用户为准的。就是说,只要这个组中有一个用户被禁用了某个权限,则你当前的权限中就没有这个权限了。当然,如果你是以单独用户帐号登陆,则没有这个限制。同时呢,在以用户组身份登陆的时候,你可以对该组中的成员设置口令,这个口令直接影响到该帐号本身。 <br>
<br>
还有,如果你对某个帐号设置了口令,那么即使你是用这个帐号登陆的,一旦这个帐号被“折叠”了,你要再次“展开”的话,仍然需要相应的口令。同时,即便你是以管理员身份登陆,如果你要打开一个加了密码保护的“用户”帐号,仍然需要这个用户的口令,就是说,即便是管理员也不能为所欲为。<br>
<br>
最后,再次回到关于密码的安全性问题上,经过测试发现,和foxmail类似,对The Bat!帐号密码,仍然有一个“必杀”绝技:找到相应帐号的邮件存储目录,删除account.cfg文件。再次进入The Bat!,发现什么了?呵呵,这个帐号的登陆及使用不再需要密码了,而且,不论其原来是什么身份,瞬间升级为管理员。<br>
<br>
必杀计之二:查看其它帐号的信件<br>
以任一帐号登陆,使用导入邮件功能,选择导入.TBB文件,你可以导入任意帐号的邮件了,只要你能找到他的邮件存放目录。<br>
可见,还是那句话,防君子不防小人啊。 <br>
<br>
应对方法:<br>
对于“*”号密码查看软件,可以通过帐号属性中的“传送”中“接收邮件”部分的“验证”选项中选择“不保 存密码”,但这样多的代价是每次收取信件,都需要输入一遍密码。<br>
更为安全的加密方式,使用ritlab公司的同类产品:SecureBat! 功能上和The Bat!基本完全相同,但是安全保护功能很强,甚至于启动程序的主密码一旦设定将无法更改。<br>
<br>
题外话,试用过程中一个有趣的发现:同一帐号可以有不同的名称。就是说对于一个已有的帐号,我们还可以为它建立另外一个“别名”。方法是:创建新帐号,在帐号名称上,输入一个不存在的名称,然后在主目录上选择浏览,指定要你所要“共享”的帐号目录,这个时候如果那个帐号设置了密码,会要求你输入密码,输入正确的密码,然后你就会发现,所有的设置信息都和那个帐号的设置一样,只要一路next下去就可以了。这样,在帐号列表里,两个帐号都存在,而这两个帐号除了名称之外,所有设置都是一模一样的,如同一个人用了两个名字一样,一个小马甲,呵呵。<br>
如果说有不一样的地方,那就是删除其中一个帐号,并选择“删除帐号文件”,这样删除之后。另一个帐号不会随同消失,但是重新进入之后你就会发现,那个帐号里面会显示为空,没有邮件了。<br>
<br>
欢迎指正。
re:ritlab从 thebat v3之后,...
ritlab从 thebat v3之后,取消了SecureBat! ,而将其溶入thebat pro版中。<br>原来的thebat及V3之后的home版。
页:
[1]
