Skoda, ze to zatim vypada, ze to umi jen loginy na web. Mohli by pridat jeste kreditky a obecny sifrovany key-value storage.
Zajimave, mohl byste tenhle komentar nejak rozvest?
Na homepage bitwardenu ctu, ze je mozne provozovat self-hosted verzi. Nebo syncem pres jine sluzby myslite ulozeni souboru do dropboxu, nebo jak? A ten klient nema lokalni cache, ze ktere by cetl, kdyz je offline?
A ten javascript - vidim, ze nabizeji nativni klientske aplikace. Takze pouzivaji neco jako electron? A jake to ma bezpecnostni problemy? Chapu, ze z hledisky vykonu/sezrane RAM je to spatne, ale je tam podle vas i neco vylozene nebezpecneho?
Ano, popisujete výhody Security through obscurity. Zapomínáte ale na jeho nevýhody – ta nestandardnost objektivně zvyšuje také náklady na obranu. Takže ve výsledku skončíte s 500 děravými správci hesel místo s 2 bezpečnými. To, že bude útok na 500 správců hesel trvat 250× déle, než útok na 2 správce hesel, je k ničemu. Zvýšení obtížnosti 250× je v bezpečnosti k ničemu, tam musíte počítat v řádech.
Systematicky zaměňuješ security THROUGH obscurity za Security with ADDITIONAL obscurity. Pouhá bezpečnost je slabší než bezpečnost s obscurity.
250x se budou násobit útočníkovy náklady na vývoj malwaru. Musel by každého z těch 500 správců hesel stáhnout, nainstalovat a podívat se, kam a jak to ukládá hesla. To nikdo dělat nebude. (Byl tu někdy nějaký banker trojan, který by uměl třeba i jen 100 webů?) Útočník bude muset přejít na "obecnou" metodu útoku, jako například zavěsit se na programy, které hesla nejčastěji používají.
Skončím s 500 děravými správci hesel místo 2 bezpečných? Zhruba stejně jako jsem skončili s 500 děravými linuxovými distribucemi místo 2 bezpečných.