发现Bitwarden有个问题

lxdn · 发表于 2021-2-18 10:13:35

自建服务器局域网使用还行，如果发布到公网，安全性令人堪忧，除非是网络老油子，能自己防御入侵和攻击

ymcoming · 发表于 2021-2-18 10:21:04

lxdn 发表于 2021-2-18 10:13
自建服务器局域网使用还行，如果发布到公网，安全性令人堪忧，除非是网络老油子，能自己防御入侵和攻击 ...

数据都是加密的，入侵拿到数据了也没用。

流河旱树 · 发表于 2021-2-18 11:01:11

libin0615 发表于 2021-2-18 09:55
已关注下厨房

谢谢支持博客IP +1

IPLC · 发表于 2021-2-18 18:45:40

晚烟如梦发表于 2021-2-18 10:10
映射/data的文件夹不要删掉自己做个cron定时打包这个文件夹上传到其他地方备份就好了
另外发现bitwar ...

浏览器要插件

clcavril · 发表于 2021-2-18 22:40:58

lxdn 发表于 2021-2-18 10:13
自建服务器局域网使用还行，如果发布到公网，安全性令人堪忧，除非是网络老油子，能自己防御入侵和攻击 ...

了解下加密机制了再说这个不迟，如果你自己忘了主密码都没办法恢复数据，入侵拿到数据库也没用。你能想到的别人设计软件的时候早想到了

doruison · 发表于 2021-2-18 22:49:25

ymcoming 发表于 2021-2-18 10:21
数据都是加密的，入侵拿到数据了也没用。

拿到服务器权限，直接在bitwarden之前截取，拿到证书私钥，中间人攻击，主密码都拿到了，你再加密都白搭

yuanyuexiaoni · 发表于 2021-2-19 02:27:57

doruison 发表于 2021-2-18 22:49
拿到服务器权限，直接在bitwarden之前截取，拿到证书私钥，中间人攻击，主密码都拿到了，你再加密都白搭 ...

我记得bitwarden是本地加密加密完后才上传的服务器截取的话没用吧除非本地监听截取了

doruison · 发表于 2021-2-19 12:28:56

yuanyuexiaoni 发表于 2021-2-19 02:27
我记得bitwarden是本地加密加密完后才上传的服务器截取的话没用吧除非本地监听截取了 ...

本地加密那校验什么，哈希结果么？那我直接截获哈希结果传过去不就行了

tkn · 发表于 2021-2-19 16:29:50

doruison 发表于 2021-2-19 12:28
本地加密那校验什么，哈希结果么？那我直接截获哈希结果传过去不就行了
...

拿到 Hash 结果又有什么用，只能是用来凭证加密后的数据是你的，hash 结果并不能解密

doruison · 发表于 2021-2-19 19:05:25

本帖最后由 doruison 于 2021-2-19 19:08 编辑

tkn 发表于 2021-2-19 16:29
拿到 Hash 结果又有什么用，只能是用来凭证加密后的数据是你的，hash 结果并不能解密 ...

那不就回到了我之前说的方式么……
检查什么传输什么，我直接截获然后传给服务端就行了
除非bitwarden和keepass的实现一样，所谓服务端只是一个网盘，把数据整体下下来在本地操作，操作完了加密在整体传回去,那是截获没用
只要服务端有解密操作（不是指加密数据的密码而是数据本身），都避免不了被（拿到服务器权限的）攻击

		自动登录	找回密码
密码			注册

发现Bitwarden有个问题

点评

浏览过的版块