#网络安全 @board
现在发现，其实vaultwarden，很可能bitwarden也是，会在网页端明文传输密码。尽管我已经在后台设置argon2加密了，但是它好像所有密码都是在后端进行加密处理的🥹
晚几天再测试一下bitwarden客户端会不会加密

@reo 我是支持前端hash

@reo logging就是一个漏洞。不考虑中间人攻击和HTTPS被破解的情况，如果黑客成功了，那么什么措施都没用。

@reo 话说vaultwarden和bitwarden（代码应该一样）有没有SRP？文章里面说只有protonmail采用了这个。protonmail听说曾经帮助警方破案🌚所以，，，

@reo 我大概知道了为啥明文传输了，因为argon2的性质。每次hash出来的结果都不一样，但是它可以也似乎只能拿明文和最初的hash进行校验

@reo 我还是在用的，毕竟注册方便，我应该已经注册了不下一百个了

@Network 好像没有srp（据1password营销），但是这个好像没有那么重要。主要要看端到端加密怎么实现的，可惜密码学不是很好懂（

@Network 感觉这也是一种非对称加密吧，但是非对称加密的问题主要是怎么交换公钥，要么线下真实（面对面交换），要么有一个中心化的机构保障公钥的真实性（证书签名之类的解决方法）. 感觉自己的数据自己用的话不用那么麻烦，自签一个证书好像可以解决很多端到端加密的问题然后复用tls

@reo 不是rsa这种非对称，是迪菲赫尔曼密钥交换

@reo 保证没有中间人攻击的前提下，交换底数、除数和幂，两个人一起取模，两个人的模是相等的，这就是密钥了

@Network tls套件也有这些东西吧，总感觉自己在应用层重新实现一遍不会比tls更安全，另外，我们干脆迁移到passkey吧，不知道bitwarden除了totp现在支持passkey了吗

@reo 今天试了下抓包，登录vaultwarden是前端哈希

@reo bitwarden也一样

@reo 危险之处在于，黑客的确可以拿哈希后的密码进行登录