Geekly articles weekly

keymemo.next - un gestionnaire de mots de passe multiplateforme complètement ouvert

Dans le cadre du développement d'un autre projet keymemo.com , le gestionnaire de mots de passe post en ligne de 2010.


Ensuite, je vais essayer de justifier un titre aussi fort.

Il n'y a pas assez de karma pour être placé dans "Je suis PR", donc ici.

J'utilise keymemo.com depuis longtemps (il semble que depuis le tout début en 2010) pour stocker des informations critiques. La paranoïa interne était un peu inquiète que la ressource sur laquelle mes informations critiques étaient stockées soit en général complètement hors de mon contrôle, mais la commodité l'emportait sur elle.

Quelques inconvénients:

  • Parfois, un espace fantôme apparaissait au nom des secrets - un espace apparaissait entre les lettres quelques (nombre différent) de caractères avant la fin du nom. Pas très dérangeant, mais gâchait visuellement la vue.

    Il n'était pas pratique d'ouvrir le site à partir d'un smartphone.


    En disposition paysage, le clavier ferme tout.

  • Au fil des années d'utilisation, une fois le domaine keymemo.com divisé, le certificat a expiré, puis tout a été restauré.

  • Il y a environ un an, j'ai accidentellement remarqué que les sauvegardes avaient cessé de venir - ma paranoïa avait un argument fort.

Lors de l'envoi d'une copie de sauvegarde du site par courrier - la copie n'est pas envoyée (au moment de la rédaction du message), une erreur de serveur se produit. La communication via la forme inverse du site s'est avérée être un moyen - de moi. Une tentative de contact via mail whois a également échoué. A en juger par la poste (lien ci-dessus) - rien n'a changé depuis la publication, c'est-à-dire depuis 2010.

Il y avait une idée de placer quelque chose comme ça sur mes capacités, mais l'auteur n'a pas répondu aux demandes de partage du code de la partie serveur, la partie client est toute disponible dans le navigateur pour la recherche, ce qui a aidé à importer.

J'ai eu l'occasion d'étudier le javascript et le PWA ( Progressive Web Apps: WhoAmI / Geek magazine )

Que s'est-il passé?

Il s'est avéré que le site keymemo.imtqy.com . En fait, il s'agit d'un site d'une page avec des scripts js - un mélange de hmtl5 / js / css3, il s'est avéré comme il s'est avéré.

Détails:

  • Le nom de domaine et le certificat sont «indépendants» de tiers, les devis peuvent être supprimés s'ils sont placés dans vos propres installations
  • Secrets stockés dans un fichier html
  • Cela fonctionne sans Internet (bien sûr, avant que l'Internet ne disparaisse, vous devez aller au navigateur au moins une fois, le navigateur se mettra en cache)
  • Aucun framework et flash utilisé, uniquement des js purs
  • Aucun lien vers des ressources externes, toutes les bibliothèques à bord, à l'exception des bibliothèques Google pour l'accès au lecteur
  • Navigateur = Chrome, fonctionne probablement aussi sur d'autres. Je n'ai pas vérifié et je ne vérifierai pas
  • Un fichier contenant des secrets (et toutes les versions précédentes des fichiers) est stocké sur votre drive.google.com dans un dossier séparé (sélectionné)
  • Chaque fois que vous enregistrez sur le disque, un nouveau fichier est enregistré, qui est ensuite utilisé comme fichier principal. Également enregistré dans le navigateur localStorage
  • Les secrets sont constitués de notes
  • Un enregistrement est une paire de valeurs «nom de champ» / «valeur de champ»
  • "Nom du champ" n'est pas chiffré
  • La "valeur du champ" est cryptée avec une clé de cryptage (phrase secrète), un algorithme AES , des bibliothèques du projet CryptoJS , vous pouvez passer à votre algorithme
  • Un enregistrement peut être de 4 types ( régulier , mot de passe - aide à générer, lier - lorsque vous cliquez sur le nom, il ouvrira un nouvel onglet, remarque - texte multiligne
  • Le nombre d'entrées secrètes n'est pas limité
  • Le nombre de secrets n'est pas limité
  • La recherche est effectuée sur toutes les "valeurs de champ"
  • Le site est pratique (à mon avis) à utiliser depuis un smartphone

  • Il y a importation de fichiers keymemo.com
  • Il y a importation à partir des fichiers keymemo.next
  • Tout le code est disponible sur github.com/keymemo/keymemo.imtqy.com
  • Vous pouvez le publier sur votre ressource (vous aurez besoin de comprendre un peu js, à savoir vous inscrire sur Google en tant que développeur et obtenir l'ID d'application avec les autorisations appropriées).
  • La sauvegarde est effectuée à partir des paramètres. Le fichier résultant contient tout ce qui est nécessaire pour accéder aux mots de passe. L'accès au navigateur de lecteur à partir d'un fichier local ne donnera pas.

La critique constructive est la bienvenue (c'est mieux d'une manière personnelle, que les vulnérabilités non réparées ou mon analphabétisme se révèlent).

Licence GNU General Public License v3.0.

Liens qui ont aidé:

Lire pour une clarification complète sur PWA
Tutoriel Javascript moderne

Importer depuis keymemo.com

Séquence de travail:
- Ouvrez www.keymemo.com , de préférence en mode incognito
- Connectez-vous
- Sélectionnez "Paramètres \ Afficher la sauvegarde des secrets (html)", un nouvel onglet s'ouvrira
- Pas besoin de se connecter
- Bouton droit \ "enregistrer sous", enregistrer le fichier
Ensuite, ce fichier peut être ouvert, connecté et voir les secrets.
Ce fichier peut être importé dans keymemo.next.

Source: https://habr.com/ru/post/fr403575/

More articles:


All Articles