Найти в Дзене
Лаборатория сисадмина
7447 подписчиков

Passbolt и блокировки HIBP подкинули проблем

21
2 мин
Обратились ко мне с просьбой, проверить работу Passbolt. Жалоба: перестали сохраняться пароли. Passbolt — это open-source решение для разворачивания self-hosted хранилища паролей. https://www.passbolt.com/ Рана или поздно любая IT команда сталкивается с проблемой хранения и обмена паролями. Passbolt позволяет на собственных мощностях развернуть хранилище секретов. Близким по функционалом решением можно назвать Vaultwarden. Сначала я скептически отнёсся к задаче. Данный софт разворачивать не приходилось, поэтому найти проблему казалось затруднительным. Однако, всё стало понятно в первые минуты. Я быстро зарегистрировался в системе, создал пароль "123", всё прошло без проблем. Для окончательной проверки я попытался сгенерировать пароль посложнее, сохранил, и пароль не сохранился, всё подвисло. Я нажал и всё сломалось! Быстрый дебаг в браузере показал, что страничка https://api.pwnedpasswords.com/range/123cd загрузилась не полностью. CAUTION: request is not finished yet! Более подробное т

Обратились ко мне с просьбой, проверить работу Passbolt. Жалоба: перестали сохраняться пароли.

Passbolt — это open-source решение для разворачивания self-hosted хранилища паролей.

https://www.passbolt.com/

Рана или поздно любая IT команда сталкивается с проблемой хранения и обмена паролями. Passbolt позволяет на собственных мощностях развернуть хранилище секретов. Близким по функционалом решением можно назвать Vaultwarden.

Сначала я скептически отнёсся к задаче. Данный софт разворачивать не приходилось, поэтому найти проблему казалось затруднительным. Однако, всё стало понятно в первые минуты. Я быстро зарегистрировался в системе, создал пароль "123", всё прошло без проблем. Для окончательной проверки я попытался сгенерировать пароль посложнее, сохранил, и пароль не сохранился, всё подвисло.

Я нажал и всё сломалось!

Быстрый дебаг в браузере показал, что страничка https://api.pwnedpasswords.com/range/123cd загрузилась не полностью.

CAUTION: request is not finished yet!

Более подробное тестирование показало, что страничка то грузится, то не грузится по таймауту.

-2

Have I been pwned?

Данное API принадлежит сервису "Have I been pwned" (HIBP). Passbolt при сохранении пароля в обязательном порядке проверяет пароль на утечки. И меня очень сильно удивило то, что возможность отключить данный функционал отсутствует. Эй, разработчики! Это же self-hosted решение, оно должно работать и без Интернет!

Сам сайт https://haveibeenpwned.com/ тоже грузится частично.

-3

Через VPN API открылось без проблем.

-4

Поведение, когда страничка без VPN грузится частично, а потом блокируется или шейпится, очень похоже на работу систем ТСПУ, непонятно с какой стороны.

Обращение к API HIBP, возможно, происходит в соответствующем расширении браузера, вряд ли удастся найти в коде Passbolt то место, где можно отключить запросы, а то можно было бы ограничение в 8 символов как-то увеличить. Короткие пароли не проверяются на утечки:

https://www.passbolt.com/incidents/pwned-password-service-information-leak

Пока ситуацию спасает то, что при долгом ожидании пароль всё-таки может сохраниться. Когда-нибудь:

-5

А иногда соединение дропается.

-6

Как раз в процессе проверки на утечки.

-7

Здесь можно предложить в качестве альтернативы сохранять пароль в поле заметок, оно на утечки не проверяется.

Источник:

https://internet-lab.ru/passbolt_hibp_trouble

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу. Пишите комментарии, задавайте вопросы, подписывайтесь.

Гаджеты и электроника
5,73 млн интересуются