假设使用 Bitwarden ,用别人的自建服务器,因为客户端是官方下载或者自己编码的,所有传输到服务器的都是密文,理论上只能漏洞或者爆破。
但 WEB 客户端是服务器提供的,是不是上只要修改 WEB 客户端这部分代码,搭建的人就能在用户使用 WEB 登录时轻松获取密码呢?
如果理解错了欢迎解惑。
但 WEB 客户端是服务器提供的,是不是上只要修改 WEB 客户端这部分代码,搭建的人就能在用户使用 WEB 登录时轻松获取密码呢?
如果理解错了欢迎解惑。
This topic created in 1452 days ago, the information mentioned may be changed or developed.
Supplement 1 · Jul 9, 2022
题外话,感觉 Bitwarden 这种 2FA 才是真的有用,当密码泄露被人尝试登陆时,只要 2FA 没成功它就会打小报告。
似乎实现这个的极少?密码已经泄露的情况下靠 2FA 撑着风险太大了。
似乎实现这个的极少?密码已经泄露的情况下靠 2FA 撑着风险太大了。
Supplement 2 · Jul 9, 2022
上面的 2FA 主要指 TOTP 和 Webauthn 这类不提醒的。
 |
1
eason1874 Jul 9, 2022
对,谁能控制网页源码,谁就能获得所有用户输入,谁就能获得密码
|
 |
2
0o0O0o0O0o Jul 9, 2022 via iPhone
|
|
3
0o0O0o0O0o Jul 9, 2022 via iPhone
补充官方的一篇介绍
https://bitwarden.com/blog/end-to-end-encryption-and-zero-knowledge/ Bitwarden is a zero-knowledge encryption password manager. |
 |
4
damnu Jul 9, 2022
密码这种太重要了,自建比较好。花点钱买个腾讯云轻量服务器,3 年也就一百多。
|
 |
5
Overfill3641 OP @0o0O0o0O0o 你这个我都忘记了 🤣,确实感觉 WEB 没啥用,可信任设备上直接客户端,不可信设备也不敢登录。不过我还是选择保留了,因为有些功能只能 WEB 上实现。
|
|
6
0o0O0o0O0o Jul 9, 2022 via iPhone
@v2tudnew #5 我觉得你这句话还是理解错了。这个模型可以理解为防的就是服务端被黑,服务端 web 文件被篡改,所以需要不依赖服务端的非 web 客户端。客户端环境可信依然无法避免服务端 web 被篡改。我建议是完全禁用它的 web ,全部依赖非 web 客户端,包括官方 cli ,应该是没有功能是 web 端独占的。
|
|
7
Overfill3641 OP @0o0O0o0O0o 这确实是一种可能,但完全命令行太难为我了,还是把数据库复制出来到本地虚拟机调试好再传上去得了,反正那些功能一年也用不到几次。
|
 |
8
Dreax Jul 9, 2022
Bitwarden 所有加解密操作在客户端完成
|
 |
9
SenLief Jul 9, 2022
直接干掉 web 端,只留 server 。web 端没什么用处的。
|
 |
10
leavic Jul 9, 2022
从来就没用过 web 端
|
 |
11
des Jul 9, 2022 via iPhone
非要用 web 端自己部署然后代理 API 就好
|
 |
12
cxxlxx Jul 10, 2022
服务端被修改,但是使用官方客户端也拿不到数据应该
|
Select Language