La password è sicura contro l'accesso root?

0

Il gestore password Passbolt è protetto contro l'accesso root, ad es. se installo Passbolt su un VPS può essere considerato sicuro o l'host VPS può accedere alle password memorizzate al suo interno?

    
posta Eborbob 17.12.2017 - 21:26
fonte

1 risposta

2

Full disclosure: sono uno sviluppatore di passbolt.

Se un utente malintenzionato ha accesso root al server, può iniettare javascript aggiuntivo per provare a eseguire un tipo di attacco diverso. A nostra conoscenza, non è possibile creare un JavaScript che consentirebbe a un utente malintenzionato di accedere alla chiave privata dell'utente finale e / o della passphrase. Se riesci a realizzarlo, contattaci all'indirizzo [email protected].

Detto questo, l'attaccante può violare quanto segue: - Riservatezza: l'utente malintenzionato può creare / modificare un utente per indurre un altro utente a condividere la password con l'autore dell'attacco. Questo potrebbe essere mitigato in futuro utilizzando le firme delle chiavi (ad esempio l'amministratore che firma tutte le chiavi degli utenti). - Disponibilità: l'accesso root significa ovviamente che tutte le password possono essere cancellate / manomesse. - Integrità: idem.

    
risposta data 18.12.2017 - 08:56
fonte

Leggi altre domande sui tag