Aller au contenu Aller au menu
  • Dépêches
  • Journaux
  • Liens
  • Forums
  • Rédaction
  • 🎙️ Projets Libres

LinuxFr.org

Se connecter

Proposer un contenu

  • Pas de compte ? S’inscrire...

Re: BitWarden

Retourner au contenu associé (dépêche : Passbolt, le gestionnaire de mots de passe pour équipe, lance ses applications mobiles)

  • [^] # Re: BitWarden

    Posté par Bruno Michel (site web personnel) le 28 janvier 2022 à 12:19. En réponse à la dépêche Passbolt, le gestionnaire de mots de passe pour équipe, lance ses applications mobiles. Évalué à 10.

    le serveur Bitwarden ne manipule pas de mots de passe, uniquement des vaults

    Non, le serveur Bitwarden peut bien manipuler des secrets (ça s'appelle des ciphers dans leur terminologie). Il faut voir un vault comme une base de données, et dedans chaque cipher est un enregistrement. Et on peut manipuler unitairement un enregistrement, pas obligatoirement toute la base.

    Vous pouvez facilement vérifier ce point en regardant les points d’entrées d’API dans la documentation officielle qui ne liste que des points d’entrée permettant de manipuler des collections (et donc des vaults)

    Je ne sais pas trop à quoi correspond cette doc, mais quand on regarde en détails, il n'y a pas de vault ou de ciphers dans les collections.

    Je pense donc ne pas me tromper en disant que ce sont donc des vaults cryptés contenant un ensemble de mots de passe qui sont envoyés au serveur en cas d’update, et donc pas des mots de passe individuels. Si vous avez une information prouvant l’inverse, n’hésitez pas à partager.

    Oui, on va prendre la source de vérité, le code. La jslib est la bibliothèque utilisée par le CLI en nodejs, les extensions navigateurs et l'interface web.

    • Création d'un cipher : https://github.com/bitwarden/jslib/blob/ca5b057b43ddf1ad671385b589395a91acd808b6/common/src/services/api.service.ts#L586-L589
    • Mise à jour d'un cipher : https://github.com/bitwarden/jslib/blob/ca5b057b43ddf1ad671385b589395a91acd808b6/common/src/services/api.service.ts#L601-L604
    • Suppression d'un cipher : https://github.com/bitwarden/jslib/blob/ca5b057b43ddf1ad671385b589395a91acd808b6/common/src/services/api.service.ts#L611-L613

    On retrouve ça dans vaultwarden (l'implémentation en Rust) :

    • Création d'un cipher : https://github.com/dani-garcia/vaultwarden/blob/9a60eb04c20fcf1f43767290ee795efe946ef3eb/src/api/core/ciphers.rs#L268-L283
    • Mise à jour d'un cipher : https://github.com/dani-garcia/vaultwarden/blob/9a60eb04c20fcf1f43767290ee795efe946ef3eb/src/api/core/ciphers.rs#L524-L545
    • Suppression d'un cipher : https://github.com/dani-garcia/vaultwarden/blob/9a60eb04c20fcf1f43767290ee795efe946ef3eb/src/api/core/ciphers.rs#L1137-L1140

    Pour la doc, j'avais trouvé https://github.com/jcs/rubywarden/blob/master/API.md#saving-a-new-item. C'est un document écrit par quelqu'un qui avait développé une implémentation server alternative à Bitwarden en Ruby. C'est vieux et plus maintenu à jour, mais ça explique bien les principes de base de bitwarden.

    A ma connaissance, Bitwarden n’implémente pas de fonctionnalités similaires. Pouvez-vous confirmer?

    Je confirme, la fonctionnalité de commentaires de Bitwarden est beaucoup plus basique. Ceci dit, je continue de penser que c'est trompeur de dire que Bitwarden ne permet pas de commenter un secret. En fait, j'aurais plutôt tendance à appeler la fonctionnalité de passbolt un chat que des commentaires.

    il est nécessaire pour un utilisateur d’enclencher lui-même le mode "recovery" avant qu’un administrateur puisse débloquer sa clef

    Oui, sauf si c'est l'administrateur a accès au serveur applicatif, à la base de données ou au serveur de mails. Et ça peut arriver assez vite pour un administrateur.

    De plus, il est prévu pour bientôt un mode shamir qui permettra de n’activer ce superpouvoir que lorsque le quorum d’administrateurs sera atteint, justement pour pallier cette problématique.

    C'est une super bonne idée d'utiliser un secret de Shamir pour ça. On avait réfléchi à faire ça pour Cozy Passwords, mais pour le moment, on manque de temps pour finaliser ça (surtout les parties expérience utilisateur où il faut bien expliquer l'utilisateur ce qui se passe et comment ça fonctionne).

Revenir en haut de page

Derniers commentaires

  • Re: cé koréan
  • Re: Détails
  • Re: Détails
  • Re: A ce propos...
  • Pour économiser et limiter l'empreinte, il faudrait réduire le PDF en compressant (au moins 75%)
  • Re: Le doux son crachotant du poste à galène
  • Oui mais
  • Re: Déjà vu
  • cé koréan
  • Re: Encore un journal généré par un LLM...
  • Moi!
  • Re: Encore un journal généré par un LLM...

Étiquettes (tags) populaires

  • intelligence_artificielle
  • le_monde_diplomatique
  • merdification
  • grands_modèles_de_langage
  • états-unis
  • canicule
  • capitalisme
  • réchauffement_climatique
  • datacenter
  • logiciel_libre
  • souveraineté_numerique
  • france

Sites amis

  • Agenda du Libre
  • April
  • Éditions D-BookeR
  • Éditions Diamond
  • Éditions Eyrolles
  • Éditions ENI
  • En Vente Libre
  • Framasoft
  • La Quadrature du Net
  • Lea-Linux
  • Open Source Initiative
  • Imprimerie Grafik Plus

À propos de LinuxFr.org

  • Mentions légales
  • Faire un don
  • L’équipe de LinuxFr.org
  • Informations sur le site
  • Aide / Foire aux questions
  • Suivi des suggestions et bogues
  • Wiki du site
  • Règles de modération
  • Statistiques
  • API pour le développement
  • Code source du site
  • Plan du site

AltStyle によって変換されたページ (->オリジナル) /