V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ed1s0n
V2EX  ›  信息安全

Bitwarden 只能通过服务器上部署的网页版而不能通过客户端修改密码是开发者偷懒没写这个功能还是有别的目的?

  •  
  •   ed1s0n · 2022-07-23 14:04:22 +08:00 · 1276 次点击
    这是一个创建于 847 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Bitwarden 是一个端到端加密的密码管理工具,即它的主密码明文应该在任何情况下都不被上传到存储密码库的服务器上,以确保获得服务器控制权的情况下用户密码不被泄露。但 Bitwarden 目前的设计是只能通过服务器上部署的网页版而不能通过客户端修改密码,由于网页版本 Bitwarden 是由存放密码库的服务器提供的,如果该服务器被黑,网页版代码被修改,则能轻松记录用户输入的主密码。而用户却只能通过这一有可能被下毒的网页版本修改主密码。是开发者偷懒没写这个功能还是有别的目的?
    1 条回复    2022-08-16 16:24:24 +08:00
    iphoneXr
        1
    iphoneXr  
       2022-08-16 16:24:24 +08:00
    你的意思是说 自建的虚拟机被黑了 然后黑客在你服务器上面搭建虚假网页来套取你的 bitwarden 主密码?
    虽然服务器已经攻陷,但是主密码加密了文件导致文件不可直接读。
    我的理解是这样的: 网页版才能进去这个系统的设置和管理后台。其它端都属于客户端而已,密码不落盘,只保存内存中,并且定时清理,与服务器端 https 加密同步。

    只有一个地方可以修改主密码,要是忘记了主密码,谁都救不了,这样挺好!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2613 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 05:40 · PVG 13:40 · LAX 21:40 · JFK 00:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.