Yuuri schrieb:
Das, mit dem die Wochen und Monate an Entwicklungszeit finanziert werden. Inkl. dauerhaftem dranbleiben beim Bugfixing, vielleicht mal einem beauftragen Pen-Testing usw.
Es ist ne einfache, alternative, leichtgewichtige Implementierung in Rust von jemand Privatem. Wenn man Bitwarden selbst hosten will, muss man sich nämlich gleich mehrere Container ans Bein binden und auch nen riesigen SQL Server. Die Referenzimplementierung ist nämlich für Skalierung über viele User gebaut, was niemand Privates brauch.
Requirements sind u.a. 4 GB RAM, 25 GB Storage und performancetechnisch soll es auch "nicht rennen".
So schlimm ist das lange nicht.
Ich hoste die normale Instanz selbst, und für ein paar User braucht das Ding aktuell laufend ca. 0,5GB RAM und braucht 250MB auf der Platte. Performance ist einwandfrei - und das auf einem 10 Jahre alten PC mit HDDs.
Die Empfehlungen sind halt auch für eine Instanz mit mehr Traffic & Usern entworfen. Solange man das für sich + Familie laufen hat, ist das overkill.
Ja, die Rust Version ist sicher etwas schlanker, aber solange man einen neueren PI hat und nicht irgend was uraltes, ist auch die neue Version eher kein Problem.
Wieso nicht? Bspw. RSS Reader gibts wie Sand am Meer, ohne dass jemand Kapital draus schlagen will, weil man es privat macht.
Ein RSS Reader und eine Cloud-PW Manger Plattform sind von der Komplexität her dann doch ein größerer Unterschied. Genauso wie vom Sicherheitsanspruch.
Sicherheitsfixes vom offiziellen Bitwarden sind irrelevant, da es eine eigenständige Implementierung ist. Höchstens wenn die API Sachen erlaubt, die nicht gedacht sind, betrifft es auch _rs, was allerdings kaum zutrifft, außer man hat beim Designprozess bereits geschlampt. Natürlich kann auch _rs irgendwo was übersehen, aber das betrifft dann nur _rs und nicht Bitwarden von offiziell.
Klar sind die Fixes vom offiziellen BW nicht relevant, aber dafür hat man halt eigene Sicherheitsprobleme drin - so wie jedes Programm. Und die muss man auch finden & beheben.
Die Wartung ist auch "kein Problem", das Projekt hat immerhin aktuell "schon" 5k Stars und 340 Forks und an der
Code Frequency erkennt man auch, dass es konstant seit zwei Jahren immer recht aktiv ist. Und falls _rs mal nicht mehr weiterentwickelt werden sollte, kannst du deinen Tresor einfach exportieren und auch gern beim offiziellen Entwickler wieder importieren, auch für jede evtl. Organisation separat. Oder du gehst zu einer bis dahin evtl. alternativ existierenden Implementierung.
Bei Bitwarden war man nämlich so gnädig alles unter OSS zu stellen, d.h. API und Implementierung und nur das Hosting wird einem dort ggf. gegen einen "Obulus" abgenommen.
Ja, irgendwer wartet da aktuell was dran rum, ist ja schön. Aber bei einem PW Manager hat man halt schon eher hohe Ansprüche ans Sicherheitsniveu, und hier ist nicht sichergestellt, dass z.B. schnell reagiert werden kann, am Ende ist der Maintainer einfach mal ein paar Wochen im Urlaub wenn ein kritischer Patch eingepflegt werden müsste. Zudem gibt es keinen Audit.
Ich will die Implementierung gar nicht schlecht machen - nur eben darauf hinweisen, dass man gerade bei sicherheitskritischer Software genau überlegen sollte, ob man irgendwas nimmt, was ein paar Hobbyisten nach Feierabend programmieren, oder vielleicht doch ein paar € dafür zahlen kann & es dann Leute gibt, die Vollzeit daran arbeiten.
Das muss dann halt jeder Benutzer für sich entscheiden. Ich hab auf meinem Server genug Hardware-Spielraum, um den offiziellen Container laufen zu lassen und bin daher einfach da geblieben.