Bitwarden 只能通过服务器上部署的网页版而不能通过客户端修改密码是开发者偷懒没写这个功能还是有别的目的?

2022-07-23 14:04:22 +08:00
 ed1s0n
Bitwarden 是一个端到端加密的密码管理工具,即它的主密码明文应该在任何情况下都不被上传到存储密码库的服务器上,以确保获得服务器控制权的情况下用户密码不被泄露。但 Bitwarden 目前的设计是只能通过服务器上部署的网页版而不能通过客户端修改密码,由于网页版本 Bitwarden 是由存放密码库的服务器提供的,如果该服务器被黑,网页版代码被修改,则能轻松记录用户输入的主密码。而用户却只能通过这一有可能被下毒的网页版本修改主密码。是开发者偷懒没写这个功能还是有别的目的?
1300 次点击
所在节点    信息安全
1 条回复
iphoneXr
2022-08-16 16:24:24 +08:00
你的意思是说 自建的虚拟机被黑了 然后黑客在你服务器上面搭建虚假网页来套取你的 bitwarden 主密码?
虽然服务器已经攻陷,但是主密码加密了文件导致文件不可直接读。
我的理解是这样的: 网页版才能进去这个系统的设置和管理后台。其它端都属于客户端而已,密码不落盘,只保存内存中,并且定时清理,与服务器端 https 加密同步。

只有一个地方可以修改主密码,要是忘记了主密码,谁都救不了,这样挺好!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/868190

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX