Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Firefox Lockwise: Mozilla bringt…

Bitwarden - OSS

  1. Thema

Neues Thema Ansicht wechseln


  1. Bitwarden - OSS

    Autor: ixiion 04.06.19 - 16:55

    Hab ich schon seit Jahren mit Bitwarden, schön das die "Erfinder" des Webbrowsers nach 20 Jahren dann auf die Idee kommen das zu kopieren wenn andere es längst entwickelt haben. Also warum erst jetzt?

  2. Re: Bitwarden - OSS

    Autor: nikeee13 04.06.19 - 17:26

    Ich verstehe den Sinn noch nicht so ganz. Man konnte auch vorher schon Passwörter synchronisieren. Wo genau ist jetzt die Neuheit?

  3. Re: Bitwarden - OSS

    Autor: quasides 05.06.19 - 03:08

    naja der alte passwordmanager war müll
    zuviele zugangsdaten haben zudem den browser signifikant verlangsamt.

    insgesamt ist diese neuentwicklung aber wohl nur sehr rudimentär und wiedermal für poweruser unbrauchbar.

    da wäre es besser 3rd party besser einzubinden und besonders unter ios bzw android8+ die systemweite schnittstelle besser zu unterstüzen

    mittlerweile gehts ja halbwegs, bis vor 6 monaten ging nichteinmal das.

    alles in allem führt kein weg an bitwarden vorbei.
    keepass ist albacken und sehr user unfreundlich, lastpass und konsorten ist kaum zu trauen.

  4. Re: Bitwarden - OSS

    Autor: Fonsis 05.06.19 - 07:10

    https://www.kuketz-blog.de/bitwarden-schwaechen-bei-sicherheit-und-datenschutz/

  5. Re: Bitwarden - OSS

    Autor: ahofmann 05.06.19 - 09:36

    Naja, die Analyse überzeugt mich noch nicht. Das mein Vault lokal entschlüsselt wird ist ja wohl ein Sicherheitsfeature, zumindest mal als solches gedacht. Ob das jetzt schlampig umgesetzt ist, kann ich nicht einschätzen, aber andere haben sich das genauer angeschaut und hatten nichts zu meckern. Von daher wirkt mir die Schlussfolgerung von dem Blogger nicht fundiert.
    Und die Kritik an den Trackern nervt mich langsam ehrlich gesagt. Man will als Betreiber einer Software im Internet (und als solches muß man Android Apps betrachten) wenigstens ungefähr wissen wie oft und welches Feature seiner Software genutzt wird und selber implementieren will man das nicht.

  6. Re: Bitwarden - OSS

    Autor: \pub\bash0r 05.06.19 - 15:55

    Fonsis schrieb:
    --------------------------------------------------------------------------------
    > www.kuketz-blog.de

    Die "Analyse" dort ist mehr als traurig. Allein die Aussage "dass mein Master-Passwort offensichtlich über die Leitung geht" bringt mich innerlich zum Weinen. Was ist daran bitte offensichtlich, wenn er im selben Absatz nicht mal feststellen kann, ob und wie es gehasht wurde?

    Man kann sich die Implementierung natürlich anschauen und wird feststellen, dass ein Derivat (!!) des Masterpasswords geschickt wird [1]. Daraus kannst du keinerlei Rückschluss auf das Passwort ziehen.
    Im Übrigen hat Bitwarden ein erfolgreiches Audit hinter sich. [2]

    OpenSource und auditiert. Was zum Henker will der Typ noch? Kann man nicht ernst nehmen, sowas.

    [1]: https://github.com/jcs/rubywarden/blob/master/API.md
    [2]: https://blog.bitwarden.com/bitwarden-completes-third-party-security-audit-c1cc81b6d33?gi=6ae9294d8106



    1 mal bearbeitet, zuletzt am 05.06.19 15:58 durch \pub\bash0r.

  7. Re: Bitwarden - OSS

    Autor: nikeee13 05.06.19 - 17:46

    quasides schrieb:
    --------------------------------------------------------------------------------
    > zuviele zugangsdaten haben zudem den browser signifikant verlangsamt.

    Ist das mit dem, der aktuell ausgeliefert wird (also nicht Lockwise) immer noch so? Hast du ggf. einen Artikel dazu?

  8. Re: Bitwarden - OSS

    Autor: harald567 07.06.19 - 11:17

    für den letzten absatz mit den passwort hätte er sich zumindest mal die FAQs durchlesen können:
    https://help.bitwarden.com/article/password-salt-hash/

    wenn er so oberflächlich irgendwas schreibt, dann soll er es gleich ganz sein lassen.

  9. Re: Bitwarden - OSS

    Autor: harald567 07.06.19 - 11:34

    mich hat es schon beim lesen des absatz mit der script-src gewundert was der sha hash dort macht (meine erste vermutung wäre gewesen das der hinhalt des geladenen scripts dagegen geprüft wird).

    nach etwas nachgelesen scheint es auch so zu sein (vielleicht kann das hier ja noch jemand bestätigen).

    damit wäre aber die behauptung:

    "Das bedeutet wiederum auch, dass die eigentliche Kontrolle über die ausgelieferte Ressource allein beim Drittanbieter liegt. Wird der Drittanbieter allerdings in irgendeiner Form kompromittiert bzw. gehackt, kann das unter Umständen dazu führen, dass der Angreifer die auszuliefernde Ressource gegebenenfalls modifiziert und dass beispielsweise statt eines schadlosen ein schadhafter JavaScript-Code an den Nutzer ausgeliefert wird."

    schlichtweg falsch. denn eine änderung der quellscripts erfordert ein update des hashes durch bitwarden sonst kann das script nicht geladen werden.

    wenn jemand mit security zu tun hat, hätte der sha wert schon mal nachdenklich machen sollen und zumindest im text darauf eingehen sollen!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hessisches Ministerium für Soziales und Integration, Wiesbaden
  2. Pfennigparade SIGMETA GmbH, München
  3. Deloitte, verschiedene Standorte
  4. ifp ? Personalberatung Managementdiagnostik, Ulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 88,00€
  2. (u. a. 5-Port-Gigabit-Switch für 15,99€, 8-Port-LAN-Switch für 27,12€, 16-Port Pro Safe...
  3. (u. a. Akku Schlagbohrschrauber für 182,99€, Akku Bohrhammer für 114,99€, Linienlaser für...
  4. GRATIS im Ubisoft-Sale


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

  1. Spielestreaming: 200 Millionen Stadia-Spieler wären ein Fehlschlag
    Spielestreaming
    200 Millionen Stadia-Spieler wären ein Fehlschlag

    Gamescom 2019 Mit dem Spielestreamingdienst Stadia möchte Google in den Massenmarkt - und mehr Spieler erreichen als andere Plattformen

  2. Kolyma 2: Frühere Deliveroo-Fahrer gründen eigenes Kollektiv
    Kolyma 2
    Frühere Deliveroo-Fahrer gründen eigenes Kollektiv

    Noch sind es erst drei, aber es gibt viele Interessenten: Ein eigener Lieferdienst soll Würde, Arbeiterrechte und Geld für Fahrer bringen, anders als bei Deliveroo. Dort wurde ein Fahrer nach einem Unfall im Krankenhaus angerufen und nach dem Verbleib der Burger gefragt.

  3. Germany Next: Telefónica schließt Internet-of-Things-Tochter
    Germany Next
    Telefónica schließt Internet-of-Things-Tochter

    Telefónica schließt Germany Next, sein Tochterunternehmen für Advanced Data Analytics und Internet of Things. Beschäftigte befürchten einen weiteren Stellenabbau.


  1. 19:42

  2. 18:31

  3. 17:49

  4. 16:42

  5. 16:05

  6. 15:39

  7. 15:19

  8. 15:00