Il gestore password Passbolt è protetto contro l'accesso root, ad es. se installo Passbolt su un VPS può essere considerato sicuro o l'host VPS può accedere alle password memorizzate al suo interno?
Full disclosure: sono uno sviluppatore di passbolt.
Se un utente malintenzionato ha accesso root al server, può iniettare javascript aggiuntivo per provare a eseguire un tipo di attacco diverso. A nostra conoscenza, non è possibile creare un JavaScript che consentirebbe a un utente malintenzionato di accedere alla chiave privata dell'utente finale e / o della passphrase. Se riesci a realizzarlo, contattaci all'indirizzo [email protected].
Detto questo, l'attaccante può violare quanto segue: - Riservatezza: l'utente malintenzionato può creare / modificare un utente per indurre un altro utente a condividere la password con l'autore dell'attacco. Questo potrebbe essere mitigato in futuro utilizzando le firme delle chiavi (ad esempio l'amministratore che firma tutte le chiavi degli utenti). - Disponibilità: l'accesso root significa ovviamente che tutte le password possono essere cancellate / manomesse. - Integrità: idem.
Leggi altre domande sui tag password-management