Per quanto ho capito se Dropbox vuole eseguire automaticamente in background senza chiedere all'utente una password, deve memorizzare la password da qualche parte sul disco fisso e non ha attualmente modo di crittografare quella password in un modo che altre applicazioni possano leggetelo.
Di conseguenza, alcune applicazioni di sicurezza richiedono all'utente l'esecuzione di una password per evitare di memorizzare la password.
Potrei immaginare un sistema in cui il sistema operativo abbia un'area sicura crittografata con la password che l'utente utilizza per accedere al suo account utente e quella configurata in modo che solo dropbox.exe
possa accedere. Il dropbox.exe
può essere identificato tramite il percorso in cui si trova sul disco e un hash. Quando Dropbox si aggiorna da solo dovrebbe dare un avviso al sistema operativo per calcolare un nuovo hash.
Questo non vale solo per app come Dropbox ma anche per app come KeePass che memorizzano molte password. Mi sembra che anche un malware in grado di leggere l'intero disco e catturare le chiavi tramite un keylogger non possa rubare password in una configurazione come questa, a condizione che il keylogger non sia attivo quando l'utente accede al suo account utente.
C'è qualche errore nel mio modo di pensare?