V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
0o0O0o0O0o
V2EX  ›  问与答

bitwarden_rs 可以运行在不可信的环境中吗?

  •  
  •   0o0O0o0O0o · 2022-06-13 20:21:49 +08:00 · 1263 次点击
    这是一个创建于 898 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我没有阅读源码,一直以来都只是按照它 docker 的文档进行了搭建。

    搭建时禁用了 WEB (觉得 WEB 可以被拿下服务端的攻击者篡改和钓鱼),仅利用官方的客户端( API )来进行注册、登录或是导入。

    我的理解是服务端无论是数据库还是内存中出现的所有数据都是无法解开由客户端加密后的密码数据的,所以在客户端可信的前提下(不考虑攻击者顺着请求 IP 来入侵客户端),它的 API 可以运行在不可信的环境中,是这样吗?

    7 条回复    2022-06-14 09:51:35 +08:00
    v2tudnew
        1
    v2tudnew  
       2022-06-13 21:09:01 +08:00
    客户端没问题的话,发给服务器的都是加密数据,但毕竟数据库别人能拿到的话,如果愿意耗费大量时间爆破(只需要爆破用户密码,2FA 可以在服务端取消掉),应该也是有风险的吧?
    oldshensheep
        2
    oldshensheep  
       2022-06-13 21:12:04 +08:00
    是的
    ltkun
        3
    ltkun  
       2022-06-14 00:17:18 +08:00 via Android
    docker 是个 sqlite 数据库 直接复制了走可以 不过没有打开看过是不是加密的
    darksword21
        4
    darksword21  
       2022-06-14 07:32:51 +08:00 via iPhone
    是这样,数据在前面那里就是加密的了
    learningman
        5
    learningman  
       2022-06-14 08:09:34 +08:00 via Android
    web 能钓鱼,那 API 也能钓鱼啊。。。
    0o0O0o0O0o
        6
    0o0O0o0O0o  
    OP
       2022-06-14 08:57:32 +08:00 via iPhone
    @learningman 如果客户端可信,按照我理解的设计,API 收到的应该一直是加密后的数据或是密码的某种不可逆的加密 /哈希,所以就算服务端被黑,也只能爆破,如何通过 API 钓鱼呢?
    learningman
        7
    learningman  
       2022-06-14 09:51:35 +08:00 via Android
    @0o0O0o0O0o 你说得对,web 的页面有可能是不可信的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1075 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:38 · PVG 06:38 · LAX 14:38 · JFK 17:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.