网友 keeds 发现 Evernote Windows 存在一个令他“非常无语的安全问题”:通过改写注册表,就能在不登录不输密码的情况下直接打开Evernote本地数据库。大家可以验证一下。
1. 注册表记录登录ID
Evernote Windows 在登录状态下,会在注册表中留下最后登录的用户名信息,示例如下。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Evernote\Evernote]
“LastLogin”=”keeds”
注销当前的 Evernote Windows(菜单:工具→注销)。刷新注册表,可以看到 LastLogin 的值已修改为空。
2. 修改注册表,直接登录
注销 Evernote Windows 后,如果再次手工启动 Evernote,只有输入ID和password才能登录。
现在,hack手段出现了:修改 [1]注册表中 LastLogin 的空值为用户ID 后再启动 Evernote ,会略过登录界面,直接打开对应的本地数据库 [2]。
3. 评论
一方面,是安全隐患。另一方面,可用于断网情况下离线登录Evernote。
注释:
[1]: 不知道如何修改注册表?方法1: 运行regedit。方法2: 修改上面的注册表导出信息,把keeds替换为你的ID,保存为reg文件,双击导入。
[2]: 如果你突发奇想,要试一下能否建立其他用户的数据库,比如xbeta、keeds。你会发现,仍然可以登录,但是系统会提示要输入密码才能与Server同步(界面如图)。
《 “Evernote Windows本地数据安全注意事项(2)” 》 有 26 条评论
为我误点时提供了解决办法~
如果不是使用evernote会多次遇到很不愉快的状况,谁也不会到注册表里去把它揪出来,大家也不是吃饱撑的没事干。我把它的注册表早摸的底朝天了,中国人就吃了英文不好中文却又腐朽的亏,多谢有道词典哈。
已转发到官方论坛。
This issue has been reported to official user forum, see http://forum.evernote.com/phpbb/viewtopic.php?f=56&t=23150&start=0
我现在就想知道开着同步的情况下会不会丢失笔记?
有哪位童鞋给个客观的答复?
(xbeta注:使用多年,自己从未遇到。关注多年,除前文一例留言外,未见过其他案例。)
@世界窗皮具网,
赞一个!
赞一下evernote,赞一下佳软兄的态度:世上没有完美的人和话,只要说出自己真实的想法和观点就是最可敬的。
[…] 笔记软件EverNote更新记录 […]
因为怕中木马病毒之类的,我经常重装系统,导出Evernote的所有注册表数据只是为了重装后便于立即恢复设置。对于修改过本地数据默认存放位置的用户来说,导入注册表就不用在重装后手动设定存放位置和同步了,所以这个登陆问题也是误打误撞发现的。
之前没遇到类似的问题,但是虚心学习了哈!谢谢!
小问题,不严重
嗯。。。这样离线也能看笔记了。不过实际意义不大,而且大概提交了以后下个版本就会修复掉了☺
太可怕了,还是wiz好。。。
xbeta您好,一阵子没上来了
累绩了一些文章没有阅读
最近发现使用
http://imageshack.us/
空间的许多图片
均已失连
例如
http://img688.imageshack.us/img688/1338/000la.jpg
(xbeta注:多谢saphx兄提醒。
这些图片,有些是源失效,有些是被墙。
但因为精力有限,也无法一次性全部更新。通常会在更新重要的旧文时,进行更换。
你示例中的文章,属于过期的新闻,所以,应该不会再花时间更新了。)
@saphx, http://img40.picoodle.com/i52s/saphx/0_881_u9vkt.jpg
图片分流
离线情况下本来就是可以登录的啊
@Hiclane,
注销 Evernote Windows 后,如果再次手工启动 Evernote,只有输入ID和password才能登录。
新改版很不错.唯有左边 [分享到] 比较碍眼
好像一直就是可以直接打开的?我现在就是,一运行就直接打开本地数据库,只有在同步的时候才需要输入密码(没使用记住密码选项)。囧,我还以为是设计如此。正常的应该是一运行程序就提示要用户和密码?那正是我想要的啊~~
@k,
注销 Evernote Windows 后,如果再次手工启动 Evernote,只有输入ID和password才能登录。
你想要一运行就提示要用户和密码,上次使用完点注销就行了。
原来这篇说的是在signed out 的情况下通过修改注册表直接打开,我个人觉得这可能不是bug,因为像我这样,从来没有从tool——sign out 而是直接File——Exit 退出程序,那么下次启动是会直接打开本地数据库的。
P.S. 其实要是有一个“退出Evernote 时sign out”的选项的话就好了。
测试缓存
我没遇过这种问题,但还是学习一下
请问xbeta,如果不想使用Evernote了,如何删除本地数据与网络帐户、数据?
借xbeta宝地谈谈刚发生的事儿吧,跟数据安全注意事项也不离题。
简单的说,刚装的Win 7 64位系统,4.2.2.3913 官网正式版(选了升级到预发布版,但目前没有更新的了),出现了用4代以来从未见过的莫名其妙崩溃多次,不是集中崩溃,而是一天偶见几次崩溃反馈框。
这也就罢了,刚才系统一切正常的情况下(我一开机就拿process explorer盯着,有问题一眼就能看出来),忽然报崩溃,然后提示数据库损毁。我把数据库放在Dropbox同步目录下。还好删除数据库,重新同步一下,暂时正常了。问题的可能原因是刚拿移动设备拍了几张照片,15M同步到Dropbox去了,不过也说不准。
我这个id在xbeta这里也好说歹说好几次了,不要依赖EverNote这个软件。我现在只拿它存一些生活琐事,无关紧要的东西,而且保持同步。它就是扶不起的阿斗,谁还愿意对它抱有幻想的,就拿自己的数据开玩笑吧。
update:官网上的版本居然更新到了4.2.3.2 还没推送。难不成更新到预发布版这个选项废品了?更新完又崩溃一次,数据库完好。无语。
楼上的 莫非是64位的问题?
win7 32位旗舰版表示无压力..
我也去抽奖去http://www.kmguolv.com/
[…] Evernote Windows 本地数据安全注意事项(2):http://xbeta.info/evernote-05.htm# 再谈:Evernote 到底是什么,不是什么?:http://xbeta.info/evernote-06.htm# […]