在客户端加密敏感信息 (host, port, name, etc.)
-
简单审计发现 (如图):host, port, 用户名, 服务器显示名称, 组名称等均为明文发送到服务器(虽然在传输层使用了 TLS,但是控制了 xt的服务器的人依然是可以看到信息的)
这些信息在某些情况下依然较为敏感,特别是 IP, port 等信息,强烈建议对这些信息进行加密后再传输到服务器,对于可能忘记所有信息的担忧,建议在设置仓库密码时增加一个可选按钮:"高级加密",默认关闭,对于有高安全需求的用户可以选择打开,这样所有信息都会被加密传输到云端
另外也许可以允许付费用户运行自托管的云端仓库?(我是不是要的太多了)
PS: 好奇加密的具体实现,是先使用 SHA-256 等算法派生 32bit 的 AES 密钥,然后再对数据执行 AES 加密吗
