@Network 想到了看到的这篇文章 https://blog.huli.tw/2023/01/10/security-of-encrypt-or-hash-password-in-client-side/ PS: 其实我觉得正确配置TLS的情况下还好emmm
@Network 6 /admin 本来就是不加密的管理员面板 让你配置完之后关掉 而且vaultwarden本来是面向NAT环境 用不用明文其实都是内网访问也无所谓
@InkNight 这就不对了。vaultwarden可以免费使用TOTP和其他bitwarden功能,在公网上还是有必要用的。
目前我还没能在我内网注册成功,因为它是强制前端HTTPS的。但是,半程HTTP是可以用的😨。还有个问题就是,我昨天自建了bitwarden官方的实例,走的cloudflare的CDN。CDN是我到CF是HTTPS的,但是在CDN内部是明文的,CDN到我实例又HTTPS加密了。
@Network 对不起我的描述有误 我的意思是Vaultwarden(后面简称vw)是面向NAT环境部署的 然后在映射(或者说公开)到公网上 所以是没这个必要给/admin这个路径做https(毕竟他自己不生成证书都)
@reo 话说vaultwarden和bitwarden(代码应该一样)有没有SRP?文章里面说只有protonmail采用了这个。protonmail听说曾经帮助警方破案🌚所以,,,
@reo 我大概知道了为啥明文传输了,因为argon2的性质。每次hash出来的结果都不一样,但是它可以也似乎只能拿明文和最初的hash进行校验
@Network 感觉这也是一种非对称加密吧,但是非对称加密的问题主要是怎么交换公钥,要么线下真实(面对面交换),要么有一个中心化的机构保障公钥的真实性(证书签名之类的解决方法). 感觉自己的数据自己用的话不用那么麻烦,自签一个证书好像可以解决很多端到端加密的问题然后复用tls
@Network tls套件也有这些东西吧,总感觉自己在应用层重新实现一遍不会比tls更安全,另外,我们干脆迁移到passkey吧,不知道bitwarden除了totp现在支持passkey了吗