Bitwarden наел германската компания за сигурност Cure 53 за одит на сигурността на софтуера и технологиите Bitwarden, използвани от услугата за управление на пароли.
Bitwarden е популярен избор, когато става въпрос за мениджърите на пароли; той е с отворен код, програми са достъпни за всички основни настолни операционни системи, мобилните платформи Android и iOS, мрежата, като разширения на браузъра и дори командния ред.
Cure 53 беше нает за „извършване на тестове за проникване в бяла кутия, одит на изходния код и криптографски анализ на екосистемата на Bitwarden от приложения и асоциирани библиотеки с кодове“.
Bitwarden пусна PDF документ, който подчертава констатациите на охранителната компания по време на одита и отговора на компанията.
Изследователският термин разкри няколко уязвимости и проблеми в Bitwarden. Bitwarden направи промени в своя софтуер, за да разреши незабавни проблеми незабавно; компанията промени начина на работа на URI, като ограничи разрешените протоколи.
Компанията внедри бял списък, който позволява схемите https, ssh, http, ftp, sftp, irc и chrome само в момента, а не други схеми като файл.
Четирите останали уязвимости, които изследователският термин, открит по време на сканирането, не изискват незабавни действия според анализа на проблемите на Bitwarden.
Изследователите критикуваха правилото за лакс парола на приложението за приемане на всяка главна парола, при условие че тя е с дължина поне осем знака. Bitwarden планира да въведе проверки за здравина на паролата и известия в бъдещите версии, за да насърчи потребителите да избират главни пароли, които са по-силни и не се разбиват лесно.
Два от въпросите изискват компрометирана система. Bitwarden не променя ключовете за криптиране, когато потребителят промени главната парола и компрометиран API сървър може да се използва за кражба на ключове за криптиране. Bitwarden може да бъде настроен индивидуално на инфраструктура, която е собственост на отделния потребител или компания.
Последният проблем беше открит при обработката на функционалността за автоматично попълване на Bitwarden в сайтове, които използват вградени рамки. Функцията за автоматично попълване проверява само адреса от най-високо ниво, а не URL адреса, използван от вградените рамки. Следователно злонамерените участници могат да използват вградени рамки на законни сайтове, за да откраднат данни за автоматично попълване.
Сега Вие : Кой мениджър на пароли използвате, защо?
