Разработчики менеджера паролей Bitwarden перевели Bitwarden Secrets Manager SDK на лицензию GPLv3. SDK предоставляет набор обвязок для различных языков программирования, позволяющих создавать расширения к менеджеру паролей и интегрировать в свои программы функциональность и модели данных, задействованные в продуктах Bitwarden...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62108
KepassXC. Коллега за по соседству в открытом блокноте на рабочем столе.
А куда дели сообщение на которое я отвечал?
Ты отвечал, но видимо делал это без уважения к чувствам рандомода.
"Это другое". В смысле что битварден - это не столько пассворд-манагер, сколько онлайн-сервис, позволяющий, например, моей компании шарить часть кренделей со мной.
То есть битварденом можно заменить KepassXC, а наоботор - нет.
То есть твоя компания доверяет этому онлайн сервису больше чем тебе?
А сэлфхост отменили или чё?
И с чего бы больше доверять гребцу на галере, на фоне проверенного (а как иначе внедрили?) контрагента и решения оного?
В KepassXC есть KeeShare которая позволяет групповое использование паролей, хотя давно не пользовался.
Ещё есть Hashi Vault.
Штош...
Ждем нашествие васяноподели "как битварден, толька бисплатна"
Чуваки сами себя закопали
Vaultwarden? Давно уже.
Кстати, да. Он еще и на Rust, внезапно, если не ошибаюсь. Вообще для меня этот проект редкого удачного комбо - докер + Rust + все нормально документировано. Потому что зачастую понамесят всего на свете и - беда.
Ждём пришествия одного-единственного Безосоподелия, которое превратит создателей оригинального Битвардена в нищих попрошаек.
> SDKНу таких новостей я не понимаю, это же проприетарщина, давайте ещё тогда новости про sdk amazon, sdk google...
Какая же это проприетарщина?
"переведён с проприетарной лицензии на GPLv3"
Самая что ни на есть свобода!
Это теперь, а до была проприетарщина.
Тогда надо запретить новости про kde и QT.
KDE никогда не был проприетарным. Qt перешёл на GPL с версии 2. Да и, надо заметить, QPL тоже считается опенсорсной. А нынешние модули, которые недоступны свободно, KDE не использует.
sdk это кит для разработки ПО
Такие же твердолобы, упорно продолжают называть Qt проприетарщиной.
И лепить при этом тихий ужас, под названием GTK 3 и GTK 4.
А в GNOME вообще доэволюционировали до Adwaita. Полная деградация графического интерфейса на компьютерах.
Всех насильно принуждают работать на компе, как со смартфоном.
Тогда надо продолжить ныть, например, Сбербанк прямо сейчас изменил веб-интерфейс СБОЛ так, что он тупо стал один в один похож на мобильное приложение.
Мне здесь снова предложат повернуть монитор на 90 градусов?
> менеджер паролейЧем файлик паролей не устраивает? Для упоротости можно зашифровать.
Чем зашифровать?
Разукрасить фломастерами, потом никто не расшифрует.
Ключом на флешке? Норм?
Менеджер паролей это профе6ссиональный инструмент.
Профаны хранят пароли в гугл таблицах
Профаны затейники выдумывают шифровать текстовые файлы с паролями. Оба варианта непрофессионализм.
Если речь идёт об онлайн сервисе, то это те же самые гугл таблицы только в профиль.
Специализированный распространённый менеджер паролей упрощает универсальную атаку с кражей паролей потому что заведомо известно где что красть. А вот непонятно где лежащие зашифрованные текстовые файлы автоматически найти и украсть намного сложнее.
Против базы Keepass поможет только терморектальный криптоанализ. А текстовые файлы с твоим васянским шифром раскрываются тупо автоматикой.
Сходи в рассылку OpenSSL и скажи им, что их шифры - васянские и ты их вскрываешь тупо автоматикой.
На, вот, зашифрованный текстовый файлик с паролем, в Base64:
U2FsdGVkX18uZiihFpxzsV0vE+Uc3qd5GI66roMp1sk=
Вскрой его тупо автоматикой.
Ах, да, ты не знаешь, от чего этот пароль. Так и тот, кто вскроет текстовый файл с паролем, тоже не будут знать, от чего он - там логин и хостнейм не указаны, только сам пароль.
> Ах, да, ты не знаешь, от чего этот пароль. Так и тот,
> кто вскроет текстовый файл с паролем, тоже не будут знать, от
> чего он - там логин и хостнейм не указаны, только сам пароль.А сам-то, через год - сможешь вспомнить, от чего?
Если пароли пары-тройки важных вещей еще можно худо-бедно запомнить (подразумеваются естественно разные пароли вида xzv-7m8dtx), то вот для кучи всякой второстепенной мелочи - локальный менеджер паролей самое оно.
Можно раскидать "по темам", искать по заголовку-логину-сайту ... ну и возможность сразу сгенерировать 20-значный пароль идет бонусом.
> Сходи в рассылку OpenSSL и скажи им, что их шифры - васянские
> и ты их вскрываешь тупо автоматикой.
> На, вот, зашифрованный текстовый файлик с паролем, в Base64:
> U2FsdGVkX18uZiihFpxzsV0vE+Uc3qd5GI66roMp1sk=
> Вскрой его тупо автоматикой.
> Ах, да, ты не знаешь, от чего этот пароль. Так и тот,
> кто вскроет текстовый файл с паролем, тоже не будут знать, от
> чего он - там логин и хостнейм не указаны, только сам
> пароль.Это и есть один из смыслов базы паролей: надёжное шифрование, проверенное той самой "тысячей глаз". А отдельно взятый среднестатистический васян не обладает достаточными компетенциями, чтобы выбрать криптостойкий алгоритм шифрования.
Если вы умеете вручную шифровать так же надёжно, как и keepass -- поздравляю, вы молодец. Предлагаю вам не останавливаться, и разработать свой софт для хранения паролей. А то у меня в базе уже под 400 паролей хранится. С отдельными текстовыми файликами так далеко не уедешь.
> только терморектальный криптоанализА также кейлоггер, иногда дамп оперативки, раньше в оригинальном KeePass можно было в конфиг добавить хуки, чтобы при открытии базы срабатывал её экспорт и скрипт для заливки в тырнеты: https://www.reddit.com/r/KeePass/comments/10lsrbm/cve2023240.../
И на дворе 2024-й год. Теперь можно так: отказываешься расшифровывать -> проявляешь неуважение к суду -> посиди пока. Сколько? Ну вот как предоставишь пароли, так и выйдешь. Забыл? Уничтожил ключ? Не знаешь? Специально хранишь шум? Зря-зря, тебе же хуже. Или так: "- Передайте электронные устройства, мы скоро их вернём? - А вы их не скомпрометированные вернёте? - А откуда вы таки такие слова знаете?".
> Передайте электронные устройства, мы скоро их вернём? - А вы их не скомпрометированные вернёте? - А откуда вы таки такие слова знаете?Действительно, откуда? И вообще что за манера задавать вопросы, на котрые и так знаешь ответ? Устройства после возвращения сразу же продаются на ебее или что там у вас. Сейчас бы цепляться за владение расходников.
Чтобы в шуточной форме продемонстрировать проблему.> Сейчас бы цепляться за владение расходников.
Вот, уже надо заранее выработать отношение как к расходникам - редкое не покупать, к фичам не привязываться, с проблемами миграции андроидофонов смириться.
>> только терморектальный криптоанализ
> А также кейлоггер, иногда дамп оперативки, раньше в оригинальном KeePass можно было
> в конфиг добавить хуки, чтобы при открытии базы срабатывал её экспорт
> и скрипт для заливки в тырнеты: https://www.reddit.com/r/KeePass/comments/10lsrbm/cve2023240.../
> И на дворе 2024-й год. Теперь можно так: отказываешься расшифровывать -> проявляешь
> неуважение к суду -> посиди пока. Сколько? Ну вот как предоставишь
> пароли, так и выйдешь. Забыл? Уничтожил ключ? Не знаешь? Специально хранишь
> шум? Зря-зря, тебе же хуже. Или так: "- Передайте электронные устройства,
> мы скоро их вернём? - А вы их не скомпрометированные вернёте?
> - А откуда вы таки такие слова знаете?".Согласен, существует ещё много способов вскрыть шифрование без криптоанализа. Я в том сообщении говорил образно; в том смысле, что хороший шифр вскрывается только "внешними" способами.
Я в тетрадку записываю простым карандашом
> простым карандашомпрофан :)
https://ru.wikipedia.org/wiki/Симпатические_чернила
Ха, торища майора не догадаецца!
а вот в "угнать за 60 секунд" - догадался :)
>Я в тетрадку записываю простым карандашомЕдинственный правильный ответ.
https://www.passwordstore.org/
Всё, что не под вашим контролем, не ваше.
>Чем файлик паролей не устраивает? Для упоротости можно зашифровать.А чё, можно не шифровать?
Тебе же объяснили, что шифровать файл с паролями - непрофессионально.
Профессионально - это когда безопасность твоих паролей отдана постороннему дяде, который мамой клянётся, что созданный им менеджер паролей хранит их именно так, как он тебе пообещал.
Какому дяде?
Стоит себе Vaultwarden на твоем сервере, полностью опенсорсный, можешь обчитаться исходники. К нему ты подключаешься совершенно опенсорсными клиентами Bitwarden'а
Где в этой схеме дядя?
Ты хочешь поговорить о дяде? Дядя трогал тебя за места которые ты боишься называть?
> можешь обчитаться исходникиТысячи глаз, да. Повторять до просветления.
Ты лично для своих клиента и сервера аудит провёл?
Нет конечно. Я их засунул в разные неймспейсы, которые только друг с другом могут по тисипи разговаривать, а для всего остального нет даже маршрута в таблице. Да если бы и был, всё равно фаерволл не пустил бы.Но ты мне можешь рассказать как ящерики в фаерволл и таблицу роутинга бэкдор засунули.
>>который мамой клянётся, что созданный им менеджер паролей хранит их именно такКод клиентов bitwarden вроде всегда был открыт, и пароли шифровались локально, перед отправкой на сервер. Да, тут есть вектор атаки с вредоносным обновлением клиентской апп-ы… Да и вариант селфхост никто не отбирал
а смысл с файлика, когда в большинстве систем есть штатный предоставлятор Secrets API, тусующийся на шине?
я раньше в luks-контейнере пароли хранила.
потом, когда перешла на гном, стала seahorse использовать.
в целом, довольно надежная вещь, если не использовать авто-разблокирование(на системах без MAC или специфичной dbus-политики, в любую связку может залезть кто угодно одним запросом). пароли храняться по сути в обычных файлах, в ~/.local/share, поэтому доступ к ним получить с лежащим dbus'ом - не проблема. если сделать доп. связку, в дополнение к сессионной - то и проблема с доступом из васянософта пропадет - посмотрели/добавили, закрыли и все.
жалко только, что нет интеграции со стороны некоторых консольных приложений, вроде того же гита.
еще в KDE Wallet есть возможность залокать сессионный кейринг для недоверенных приложений.
т.е. когда сделаешь из терминала dbus-send, велезет окно, мол разрешить ли процессу dbus-send (PID) доступ к связке?
гномеры, к сожалению, ниасилили и отмазались, мол "полъзуйтесъ флутпакомъ".
хотяя.. знаете, я даже понять могу, почему так:
сокет кейринга в /run/user/UID с ограничивающими правами, а приложения, юзер, по задумке гномеров, ставит только из флатпака(так и делаю, на самом деле) и только для себя(спасибо flatpak-session-helper, это рута не требует).
т.е. по сути получать несанкционированный доступ к ключам неоткуда - неизолированные процессы контролируются рутом, а он и так всевластен.
в целом-то, в современных системах, доступом рулит polkit, позволяющий у юзера тупо отнять доступ к руту, получив эдакий андроид.
но тут все упирается в отстутствие в гноме/флатпаке поддержки окошечек вида "Приложение1 пытается получить доступ к связке ключей, разрешить?".
и на самом деле, это не так тяжело реализуется, bwrap вполне может регистрировать запрещенные действия, слать dbus-запрос к xdg-permission-store(оно уже везде есть, если кто не знал), а тот, в свою очередь, слал бы запрос в desktop-portal.
может, в xdg-desktop-portal и flatpak послать реквест? что думаете?
у меня даже есть идея, как в коде реализовать это.
все еще интереснее, xdg-permission store уже даже может в "ask" в касестве значения строки привелегии: https://github.com/flatpak/xdg-desktop-portal/wiki/The-Permi...
более того, flatpak и snapd уже это умеют. snapd - через AA.
прикольно, на самом деле, не знала даже.
теперь все складывается.
>Yes, Flatpak already has interactive permission dialogs in the form of portals, such as for the file chooser dialog. Snap uses the same filesystem access portal as Flatpak and I would hope that the planned portals described above would also be made in the xdg-desktop-portal project so they can be shared between sandboxing systems. But it would be great to hear more from Canonical on whether that's the case and what their plans are so we can work together to make more portals.
Устраивает до момента, когда у тебя сидят несколько десятков человек и им как-то надо централизованно выдавать пароли. При этом, вся эта централизованная выдача лет 5 назад, когда хоть как-то пытался ей заниматься, реализована вяло, косо либо без достаточных фич (если кто знает что-то годное - поправьте). То есть - либо поделие, либо все серьезно, но обычных людей, например, программистов, в стойло этой серьезности не загонишь - слишком много надо соблюдать условий в работе с паролями.Выше упоминали Vaultwarden - в свое время понравился, но, насколько помню, временную выдачу паролей не поддерживал. Чтобы, типа, по ссылке, которая действует ограниченное время, получить нужный пароль.
Централизованное хранение паролей придумано, чтобы у вас их было проще забрать, даже паяльник не нужен.
> Централизованное хранение паролей придумано, чтобы у вас их было проще забрать, даже
> паяльник не нужен.И правильно.
Зачем мне рисковать своей пятой точкой, ради паролей компании?
Это их выбор использовать такое хранилище, так что это будут их проблемы.
Только случись что-нибудь компания даже слушать не станет и возложит всю ответственность на твою пятую точку.
И что они мне сделают ? Уволят ? Ну бывает
Централизованные менеджеры паролей это профессиональный инструмент для ИТ департаментов, чтобы можно было отслеживать кто, когда изменил и открыл пароль и т.д.
Товарищ майор с вами не может не согласиться.
Пока что их забирают гораздо чаще у тех кто любит качнуть пиратский протрояненый фотошоп с рутрекера.
Зато под раздачу попали процентов 90 любителей вписывать себя в заголовочники полученные автоматической плюсацией каких то новых функций