Kişisel parola yöneticim için güvenlikle ilgili önemli noktalar

Question

Güvenlik bilgim sınırlıdır ancak bir şeyler öğrenebilirim.
Bir javascript AES kitaplığı kullanarak yazılan bir ana parola ile parolaları istemci tarafı şifreleyip/şifresini çözdüğüm bir ajax uygulaması oluşturmayı ve şifrelenmiş verileri Google App Engine'e (kullanıcı kimliği doğrulanmış) gönderip almayı planlıyorum.
Aslında aynı fikirle bir proje buldum: http://code.google.com/p/safety-vault/

Yerel bilgisayarımı güvende tuttuğum sürece (keyloggers) bu oldukça güvenli olmalı mı yoksa bir şey mi özlüyorum?

Answer 1

Webapp için SSL kullandığınız sürece, bu iyi olmalıdır. SSL olmadan, bir saldırgan sayfayı yazarken şifreni gönderen bir Javascript eklemek için sayfayı değiştirebilir.

Tehdit modelinizi yeniden gözden geçirebilirsiniz. Sunucuya güveniyor musun? Aksi takdirde, girdiğinizde ana parolanızı yakalayan bir sayfa göndermemesi için güvenmemelisiniz. Eğer yaparsanız, ana parolanızı sunucuya göndermede herhangi bir niteliğiniz olmamalıdır.

Answer 2

Bir noktada, ana parolanızı tarayıcı istemciye göndermek zorunda kalacağınızı düşündüğüm bir sorun var. Eğer ana şifreye sahipseniz, göndereceğiniz akışın şifresini çözebilirsiniz ...

HTTPS'yi kullanın, bunun için tasarlandığı şeydir.

Answer 3

Şifrelerinizi çalmamak için Google App Engine çalışanlarına ve bunların arkasındaki tüm güven zincirine güvenilir bir şekilde güveniyorsunuz. İstemci tarafını şifrelemek, sunucunun size gönderdiği JavaScript kodunu çalıştırıyorsanız hiçbir şey ifade etmeyecektir. Ayrıca, HTTPS'nin düzgün bir şekilde uygulanmamış olması durumunda, birisinin orta saldırıda bir erkek yapması ve şifrelerinizi iletilirken çalması önemsizdir. Parolaları yerel olarak depolayın veya GPG gibi iyi bilinen bir araçla bunları şifreleyin ve bunları yükleyin.