今天我在一个只能通过BasicAuth访问的域名上。然后当我不需要登录的时候,我真的很害怕。即使在隐姓埋名模式下,页面也无需登录即可看到。我的基本身份验证是否已损坏?结果是:没有,但是@Bitwarden已经自动为我登录了。1/6。
Bitwarden自动发送HTTP Authorization标头。HTTP授权请求标头包含向服务器验证用户身份的凭据。即使禁用了自动填充,也会发生这种情况。人们可能会认为,这并不是那么悲惨。但情况正在变得更糟。2/6。
使用";基域";作为默认URI匹配检测(bitwarden.com/Help/…/u)。。这意味着:BAD\.Example\.com与Good\.Example\.com相同。因此,Bitwarden可能会自动(!!)。将我的密码泄露到其他子域。3/6。
在我的情况下,这不是那么有问题,因为所有的子域都属于我。尽管如此,Bitwarden仍然会将我的密码泄露给其他子域,因此可能还会泄露给其他服务器。我认为这是一个严重的攻击载体。4/6。
这应该不会发生,尤其是关闭自动填充时。这个问题从一月份就已经知道了,所以超出了漏洞赏金的范围。欢迎在gihub上对这一问题进行投票:github.com/bitwarden/brow…。5/6。
然而,我相信Bitwarden属于更好的密码管理器。比特沃登现在是,也可以是完全自我托管的。6/6。
更新:比特沃登(Bitwarden)反应迅速(在周日!)。已有拉取请求:github.com/bitwarden/brow…。8/6