全球主机交流论坛

标题: 发现Bitwarden有个问题 [打印本页]

作者: 小旭 时间: 2021-2-18 02:33
标题: 发现Bitwarden有个问题
我创建完成容器注册用户正常登陆
然后为了禁止注册就删除重新运行创建容器
然后就登陆不上了

作者: sky170 时间: 2021-2-18 02:45
连带着数据都删除了，没设置volume？

作者: 小旭 时间: 2021-2-18 03:00

sky170 发表于 2021-2-18 02:45
连带着数据都删除了，没设置volume？

搞定了

作者: 30K的K3很流畅 时间: 2021-2-18 03:59
没觉得有必要禁止注册和邀请。

或者说，我把我的Bitwarden_rs告诉你，你敢使用我提供的服务？

作者: louiejordan 时间: 2021-2-18 05:32
老老实实用官方的吧，没事自建服务器不见得就安全，而且小问题一堆

作者: 流河旱树 时间: 2021-2-18 09:51
你这问题我也遇到过然后试了2次放弃了

作者: libin0615 时间: 2021-2-18 09:55

流河旱树发表于 2021-2-18 09:51
你这问题我也遇到过然后试了2次放弃了

已关注下厨房

作者: doctore 时间: 2021-2-18 10:07

小旭发表于 2021-2-18 03:00
搞定了

怎么搞定的，加个token?

作者: laoxong 时间: 2021-2-18 10:10
你自己说了删除了容器..

作者: 晚烟如梦 时间: 2021-2-18 10:10
提示: 作者被禁止或删除内容自动屏蔽

作者: lxdn 时间: 2021-2-18 10:13
自建服务器局域网使用还行，如果发布到公网，安全性令人堪忧，除非是网络老油子，能自己防御入侵和攻击

作者: ymcoming 时间: 2021-2-18 10:21

lxdn 发表于 2021-2-18 10:13
自建服务器局域网使用还行，如果发布到公网，安全性令人堪忧，除非是网络老油子，能自己防御入侵和攻击 ...

数据都是加密的，入侵拿到数据了也没用。

作者: 流河旱树 时间: 2021-2-18 11:01

libin0615 发表于 2021-2-18 09:55
已关注下厨房

谢谢支持博客IP +1

作者: IPLC 时间: 2021-2-18 18:45

晚烟如梦发表于 2021-2-18 10:10
映射/data的文件夹不要删掉自己做个cron定时打包这个文件夹上传到其他地方备份就好了
另外发现bitwar ...

浏览器要插件

作者: clcavril 时间: 2021-2-18 22:40

lxdn 发表于 2021-2-18 10:13
自建服务器局域网使用还行，如果发布到公网，安全性令人堪忧，除非是网络老油子，能自己防御入侵和攻击 ...

了解下加密机制了再说这个不迟，如果你自己忘了主密码都没办法恢复数据，入侵拿到数据库也没用。你能想到的别人设计软件的时候早想到了

作者: doruison 时间: 2021-2-18 22:49

ymcoming 发表于 2021-2-18 10:21
数据都是加密的，入侵拿到数据了也没用。

拿到服务器权限，直接在bitwarden之前截取，拿到证书私钥，中间人攻击，主密码都拿到了，你再加密都白搭

作者: yuanyuexiaoni 时间: 2021-2-19 02:27

doruison 发表于 2021-2-18 22:49
拿到服务器权限，直接在bitwarden之前截取，拿到证书私钥，中间人攻击，主密码都拿到了，你再加密都白搭 ...

我记得bitwarden是本地加密加密完后才上传的服务器截取的话没用吧除非本地监听截取了

作者: doruison 时间: 2021-2-19 12:28

yuanyuexiaoni 发表于 2021-2-19 02:27
我记得bitwarden是本地加密加密完后才上传的服务器截取的话没用吧除非本地监听截取了 ...

本地加密那校验什么，哈希结果么？那我直接截获哈希结果传过去不就行了

作者: tkn 时间: 2021-2-19 16:29

doruison 发表于 2021-2-19 12:28
本地加密那校验什么，哈希结果么？那我直接截获哈希结果传过去不就行了
...

拿到 Hash 结果又有什么用，只能是用来凭证加密后的数据是你的，hash 结果并不能解密

作者: doruison 时间: 2021-2-19 19:05
本帖最后由 doruison 于 2021-2-19 19:08 编辑

tkn 发表于 2021-2-19 16:29
拿到 Hash 结果又有什么用，只能是用来凭证加密后的数据是你的，hash 结果并不能解密 ...

那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和keepass的实现一样，所谓服务端只是一个网盘，把数据整体下下来在本地操作，操作完了加密在整体传回去,那是截获没用
只要服务端有解密操作（不是指加密数据的密码而是数据本身），都避免不了被（拿到服务器权限的）攻击

作者: dvbhack 时间: 2021-2-19 19:13
本帖最后由 dvbhack 于 2021-2-19 19:16 编辑

doruison 发表于 2021-2-19 19:05
那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和k ...

bitwarden 使用AES-256进行本地加密，然后再传输到云端进行同步，使用 PBKDF2 加密主密码，支持二次验证。

我主密码只记在脑子里，二次验证使用的 google authenticator.

我就想知道你在中间能拦截到什么？

主密码根本不在客户端和服务器端之间传输。

你要想拿到主密码，还不如说在我的电脑上装个木马，录制键盘输入呢……

作者: tkn 时间: 2021-2-19 19:55
本帖最后由 tkn 于 2021-2-19 20:20 编辑

doruison 发表于 2021-2-19 19:05
那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和k ...

你还是没有明白它的原理，建议去看官方文档的问答部分。给你举个你能看得懂的例子：主密码在浏览器本地 hash ，传 hash 到服务端保存，这就是你的登录凭证。你要保存的密码在本地通过主密码加密后也传到服务器保存。下次登陆，你在浏览器输入主密码，本地 hash 主密码后把 hash 传到服务器对比，登陆成功，把属于你的加密后的数据返回来给你，浏览器本地通过主密码再解密得到原密码。我就问你，主密码自始至终没有在网络中传输，你拿到 hash 和加密过的数据能解出原密码吗？

作者: doruison 时间: 2021-2-19 21:28

tkn 发表于 2021-2-19 19:55
你还是没有明白它的原理，建议去看官方文档的问答部分。给你举个你能看得懂的例子：主密码在浏览器本地 h ...

明白了，其实和keepass是类似的方式，对数据（存储的密码）的加密在本地完成，只是分别传输，不像keepass是一个整体

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)