V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
v2tudnew
V2EX  ›  问与答

使用他人搭建的密码保管服务器隐患

  •  
  •   v2tudnew · 2022-07-09 12:52:37 +08:00 · 2388 次点击
    这是一个创建于 900 天前的主题,其中的信息可能已经有所发展或是发生改变。
    假设使用 Bitwarden ,用别人的自建服务器,因为客户端是官方下载或者自己编码的,所有传输到服务器的都是密文,理论上只能漏洞或者爆破。

    但 WEB 客户端是服务器提供的,是不是上只要修改 WEB 客户端这部分代码,搭建的人就能在用户使用 WEB 登录时轻松获取密码呢?

    如果理解错了欢迎解惑。
    第 1 条附言  ·  2022-07-09 14:03:18 +08:00
    题外话,感觉 Bitwarden 这种 2FA 才是真的有用,当密码泄露被人尝试登陆时,只要 2FA 没成功它就会打小报告。
    似乎实现这个的极少?密码已经泄露的情况下靠 2FA 撑着风险太大了。
    第 2 条附言  ·  2022-07-09 14:05:53 +08:00
    上面的 2FA 主要指 TOTP 和 Webauthn 这类不提醒的。
    13 条回复    2022-07-10 17:39:41 +08:00
    eason1874
        1
    eason1874  
       2022-07-09 13:20:31 +08:00
    对,谁能控制网页源码,谁就能获得所有用户输入,谁就能获得密码
    0o0O0o0O0o
        2
    0o0O0o0O0o  
       2022-07-09 13:26:36 +08:00 via iPhone
    /t/859369

    没错的,主要的威胁就是 web 页面被篡改,所以我部署时是 disable 掉 web 的
    0o0O0o0O0o
        3
    0o0O0o0O0o  
       2022-07-09 13:32:02 +08:00 via iPhone
    补充官方的一篇介绍

    https://bitwarden.com/blog/end-to-end-encryption-and-zero-knowledge/

    Bitwarden is a zero-knowledge encryption password manager.
    damnu
        4
    damnu  
       2022-07-09 13:34:38 +08:00
    密码这种太重要了,自建比较好。花点钱买个腾讯云轻量服务器,3 年也就一百多。
    v2tudnew
        5
    v2tudnew  
    OP
       2022-07-09 14:01:15 +08:00
    @0o0O0o0O0o 你这个我都忘记了 🤣,确实感觉 WEB 没啥用,可信任设备上直接客户端,不可信设备也不敢登录。不过我还是选择保留了,因为有些功能只能 WEB 上实现。
    0o0O0o0O0o
        6
    0o0O0o0O0o  
       2022-07-09 14:24:56 +08:00 via iPhone
    @v2tudnew #5 我觉得你这句话还是理解错了。这个模型可以理解为防的就是服务端被黑,服务端 web 文件被篡改,所以需要不依赖服务端的非 web 客户端。客户端环境可信依然无法避免服务端 web 被篡改。我建议是完全禁用它的 web ,全部依赖非 web 客户端,包括官方 cli ,应该是没有功能是 web 端独占的。
    v2tudnew
        7
    v2tudnew  
    OP
       2022-07-09 14:43:13 +08:00
    @0o0O0o0O0o 这确实是一种可能,但完全命令行太难为我了,还是把数据库复制出来到本地虚拟机调试好再传上去得了,反正那些功能一年也用不到几次。
    Dreax
        8
    Dreax  
       2022-07-09 14:51:17 +08:00
    Bitwarden 所有加解密操作在客户端完成
    SenLief
        9
    SenLief  
       2022-07-09 15:00:26 +08:00
    直接干掉 web 端,只留 server 。web 端没什么用处的。
    leavic
        10
    leavic  
       2022-07-09 18:48:33 +08:00
    从来就没用过 web 端
    des
        11
    des  
       2022-07-09 19:32:03 +08:00 via iPhone
    非要用 web 端自己部署然后代理 API 就好
    cxxlxx
        12
    cxxlxx  
       2022-07-10 12:30:42 +08:00
    服务端被修改,但是使用官方客户端也拿不到数据应该
    dfgxcvbcv
        13
    dfgxcvbcv  
       2022-07-10 17:39:41 +08:00
    注册和修改主密码必须用网页版吧
    cc @SenLief
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5555 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 01:31 · PVG 09:31 · LAX 17:31 · JFK 20:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.