Geekly articles weekly

keymemo.next - ein vollständig offener plattformübergreifender Passwort-Manager

In der Entwicklung eines anderen Projekts keymemo.com , der Post Online Passwort Manager von 2010.


Als nächstes werde ich versuchen, einen so lauten Titel zu rechtfertigen.

Es gibt nicht genug Karma, um in "Ich bin PR" platziert zu werden, also hier.

Ich benutze keymemo.com schon lange (anscheinend von Anfang 2010 an), um wichtige Informationen zu speichern. Interne Paranoia war ein wenig besorgt darüber, dass die Ressource, auf der meine kritischen Informationen gespeichert waren, im Allgemeinen völlig außerhalb meiner Kontrolle lag, aber die Bequemlichkeit überwog sie.

Einige Unannehmlichkeiten:

  • Manchmal erschien ein Phantomraum im Namen von Geheimnissen - ein Raum zwischen den Buchstaben einige (unterschiedliche Anzahl) von Zeichen vor dem Ende des Namens. Nicht sehr störend, aber die Sicht optisch verdorben.

    Es war unpraktisch, die Site von einem Smartphone aus zu öffnen.


    Im Querformat schließt die Tastatur alles.

  • Im Laufe der Jahre, in denen die Domain keymemo.com aufgeteilt wurde, das Zertifikat abgelaufen ist, wurde alles wiederhergestellt.

  • Vor ungefähr einem Jahr bemerkte ich versehentlich, dass keine Backups mehr kamen - meine Paranoia hatte ein starkes Argument.

Wenn Sie eine Sicherungskopie von der Site per E-Mail senden - die Kopie wird nicht gesendet (zum Zeitpunkt des Schreibens des Beitrags), tritt ein Serverfehler auf. Die Kommunikation über die umgekehrte Form der Website erwies sich als eine Möglichkeit - von mir. Ein Versuch, über whois mail Kontakt aufzunehmen, schlug ebenfalls fehl. Nach dem Beitrag zu urteilen (Link oben) - seit der Veröffentlichung hat sich nichts geändert, d. H. seit 2010.

Es gab eine Idee, so etwas auf meine Kapazitäten zu setzen, aber der Autor antwortete nicht auf Anfragen, den Server-Teilecode freizugeben. Der gesamte Client-Teil steht im Browser für Recherchen zur Verfügung, was beim Import hilfreich war.

Ich hatte Gelegenheit, Javascript und PWA ( Progressive Web Apps: WhoAmI / Geek Magazine ) zu studieren.

Was ist passiert?

Es stellte sich heraus, die Website keymemo.imtqy.com . Tatsächlich ist dies eine einseitige Site mit js-Skripten - eine Mischung aus hmtl5 / js / css3, wie sich herausstellte.

Details:

  • Der Domainname und das Zertifikat sind "unabhängig" von Dritten. Angebote können entfernt werden, wenn sie in Ihren eigenen Einrichtungen platziert werden
  • In der HTML-Datei gespeicherte Geheimnisse
  • Es funktioniert ohne Internet (bevor das Internet verschwindet, müssen Sie mindestens einmal zum Browser gehen, der Browser wird zwischengespeichert)
  • Keine Frameworks und Flash verwendet, nur reine js
  • Keine Links zu externen Ressourcen, alle Bibliotheken an Bord, mit Ausnahme der Google-Bibliotheken für den Zugriff auf das Laufwerk
  • Browser = Chrome, funktioniert wahrscheinlich auch bei anderen. Ich habe nicht überprüft und ich werde nicht überprüfen
  • Eine Datei mit Geheimnissen (und allen früheren Versionen von Dateien) wird auf Ihrem drive.google.com in einem separaten (ausgewählten) Ordner gespeichert
  • Jedes Mal, wenn Sie auf dem Laufwerk speichern, wird eine neue Datei gespeichert, die später als Hauptdatei verwendet wird. Wird auch im localStorage-Browser gespeichert
  • Geheimnisse bestehen aus Notizen
  • Ein Datensatz ist ein Paar von Werten für "Feldname" / "Feldwert"
  • "Feldname" ist nicht verschlüsselt
  • " Feldwert " wird mit einem Verschlüsselungsschlüssel (Passphrase), einem AES- Algorithmus und Bibliotheken aus dem CryptoJS- Projekt verschlüsselt . Sie können zu Ihrem Algorithmus wechseln
  • Ein Datensatz kann eine von vier Arten sein ( regulär , Passwort - hilft beim Generieren, Verknüpfen - wenn Sie auf den Namen klicken, wird eine neue Registerkarte geöffnet, Anmerkung - mehrzeiliger Text
  • Die Anzahl der geheimen Einträge ist nicht begrenzt
  • Die Anzahl der Geheimnisse ist nicht begrenzt
  • Die Suche wird nach allen "Feldwerten" durchgeführt.
  • Die Seite ist (meiner Meinung nach) bequem von einem Smartphone aus zu benutzen

  • Es wird aus keymemo.com-Dateien importiert
  • Es wird aus keymemo.next-Dateien importiert
  • Der gesamte Code ist unter github.com/keymemo/keymemo.imtqy.com verfügbar
  • Sie können es auf Ihrer Ressource veröffentlichen (Sie müssen js ein wenig verstehen, nämlich sich bei Google als Entwickler registrieren und die Anwendungs-ID mit den entsprechenden Berechtigungen erhalten).
  • Die Sicherung erfolgt über die Einstellungen. Die resultierende Datei enthält alles, was für den Zugriff auf Kennwörter erforderlich ist. Der Zugriff auf den Laufwerksbrowser über eine lokale Datei wird nicht gewährt.

Konstruktive Kritik ist willkommen (es ist auf persönliche Weise besser, ob sich die nicht reparierten Schwachstellen oder mein Analphabetismus zeigen).

Lizenz GNU General Public License v3.0.

Links, die geholfen haben:

Lesen Sie die vollständige Erläuterung zu PWA
Modernes Javascript-Tutorial

Import von keymemo.com

Arbeitsablauf:
- Öffnen Sie www.keymemo.com , vorzugsweise inkognito
- Loggen Sie sich ein
- Wählen Sie "Einstellungen \ Sicherung von Geheimnissen anzeigen (HTML)", eine neue Registerkarte wird geöffnet
- Sie müssen sich nicht anmelden
- Rechte Schaltfläche "Speichern unter", Datei speichern
Dann kann diese Datei geöffnet, angemeldet und die Geheimnisse gelüftet werden.
Diese Datei kann in keymemo.next importiert werden.

Source: https://habr.com/ru/post/de403575/

More articles:


All Articles