用postman抓包了。剥去HTTPS,vaultwarden和bitwarden除了相同邮箱的加密密码是相同的以外,还有vaultwarden的管理员密码在HTTPS外衣下裸奔以外,其他都挺安全。
Bitwarden好像是传回了一个私钥,所有数据都用密文,靠私钥+用户的密码解锁。
网易邮箱的密码也安全,都没有明文传输,也在HTTPS里面套了一层加密(可能跟ssh的密钥登录原理一样?🤔)
#技术相关 不打安全tag了,因为虚假的安全感是最危险的
vaultwarden服务器【建议】不套CDN,除非有ddos风险,因为套了CDN以后,可能管理员密码明文会经过CDN服务器。被DDOS了以后,最多就是无法连接服务器,最严重就是无法使用密码。做好备份应该可以保证万无一失。减少ddos风险的办法就是拿<IP地址>.vault.dzm.pp.ua作为域名?🤔
关于套CDN的情况:中间人攻击导致的盗号几率应该不大。因为登录成功以后,好像还是要拿密码在本地解密密码。
而中间人最多盗走管理员权限。
管理员可以做的事情有:
销毁整个密码库,让你无法进行登录(做好本地备份即可降低影响,影响等价于遭到24h不间断ddos使服务器持续瘫痪)
读取你的密码库用户名(邮箱地址),仅此而已。这样没有直接的盗号风险,但是会有开盒+被捕风险。所以不建议在自建的密码库使用工作邮箱(以及你求职简历上写的邮箱)
结论:密码管理器
可以使用CDN(完全严格加密),
在使用CDN的情况下,
可以用注册cloudflare的邮箱,
管理员可以用与cloudflare账号相同的密码、密码管理器生成的密码,也可以彻底关闭管理员权限
可以用较为简单好记的域名(过于复杂难记的域名有背密码管理器的初衷)
