Releases: Qmaker-programmer/nsly
Releases · Qmaker-programmer/nsly
Release list
🔐 Release v0.6 · Security Hardening
🔐 Release v0.6 · Security Hardening
Actualización de seguridad enfocada en cerrar huecos reales encontrados en una auditoría del código: manejo de secretos en memoria, sincronización con la nube y validaciones de entrada.
🛡️ Cifrado y manejo de secretos
- Fail-closed en
encryptField: si la clave del vault no está en memoria, ahora se lanza un error en vez de guardar el campo en texto plano silenciosamente. - Auto-borrado del clipboard: al copiar una contraseña o código TOTP, el portapapeles se limpia solo a los 25s (y solo si sigue conteniendo lo que copiamos, verificado por hash).
- Token de sync cifrado en disco: el bearer token de sincronización ahora se guarda cifrado con AES-256-GCM en vez de texto plano (con migración automática desde configs antiguas).
☁️ Sincronización
- Protección anti-rollback: cada bóveda lleva un número de revisión dentro del blob cifrado; si el servidor intenta devolver una versión más vieja, la sincronización se rechaza.
- Límite de tamaño en descargas (50 MB) para evitar que un servidor malicioso agote memoria.
🔑 Contraseña maestra
- Mínimo elevado a 12 caracteres (antes 6) y validación del máximo de 72 bytes que impone bcrypt.
🧹 Otros arreglos
- Rate limiting de login ahora es por usuario, no global.
Exportar bóvedavalida symlinks y reporta si alguna entrada se omitió por error de descifrado.- Eliminar una entrada revierte los cambios en memoria si falla el guardado a disco, evitando que la UI y el archivo queden desincronizados.
- Se corrigió un bug visual donde el badge
🔑2FAaparecía en entradas que no tenían TOTP configurado.
Este release fue desarrollado con la asistencia de Claude Fable 5 (Anthropic), que realizó la auditoría de seguridad inicial e implementó los arreglos.
La bóveda viaja SIEMPRE cifrada de extremo a extremo. El servidor nunca ve tus contraseñas. 🔐
Version 0.5
🚀 Release v0.5 · Multi-Vault & Production Sync
Una actualización masiva que transforma a NSLY en un gestor multicuentas (Multi-Vault) e introduce un servidor de sincronización de nivel de producción escrito completamente en Go puro.
🔐 Cliente TUI (Mejoras Core)
- Multi-Vault: Soporte para múltiples perfiles locales aislados bajo
$HOME/.nsly_vault/{usuario}. - Scroll de Usuarios: Interfaz fluida que maneja listas largas de usuarios mediante scroll dinámico.
- Auto-Lock: Bloqueo automático por inactividad tras 5 minutos para proteger tus datos en memoria.
- Filtro en Vivo: Presiona
/dentro de tus contraseñas para buscar instantáneamente sin cambiar de pantalla. - Edición Directa: Presiona
Esobre cualquier entrada para modificarla en el lugar (en vez de duplicarla). - Generador Master Pass: Presiona
Ctrl+Gal crear un usuario para generar una clave maestra segura e irreproducible.
🌐 Servidor de Sincronización (server-example/)
- Go Puro: Migración completa del script de Node a un backend robusto en Go, libre de dependencias externas.
- Multi-Tenant: Manejo de múltiples bóvedas remotas de forma segura con almacenamiento atómico y backups automáticos (
.bak). - Seguridad Hash: Los tokens de autenticación se procesan usando SHA-256 y comparaciones en tiempo constante.
- Production Ready: Dockerfile optimizado (distroless),
docker-compose.ymlpreconfigurado con proxy inverso Caddy (HTTPS automático viamkcert/Let's Encrypt) y servicio Systemd con hardening.
La bóveda viaja SIEMPRE cifrada de extremo a extremo. El servidor nunca ve tus contraseñas. 🔐

