Skip to content

Releases: Qmaker-programmer/nsly

🔐 Release v0.6 · Security Hardening

Choose a tag to compare

@Qmaker-programmer Qmaker-programmer released this 12 Jul 00:35

🔐 Release v0.6 · Security Hardening

Actualización de seguridad enfocada en cerrar huecos reales encontrados en una auditoría del código: manejo de secretos en memoria, sincronización con la nube y validaciones de entrada.

🛡️ Cifrado y manejo de secretos

  • Fail-closed en encryptField: si la clave del vault no está en memoria, ahora se lanza un error en vez de guardar el campo en texto plano silenciosamente.
  • Auto-borrado del clipboard: al copiar una contraseña o código TOTP, el portapapeles se limpia solo a los 25s (y solo si sigue conteniendo lo que copiamos, verificado por hash).
  • Token de sync cifrado en disco: el bearer token de sincronización ahora se guarda cifrado con AES-256-GCM en vez de texto plano (con migración automática desde configs antiguas).

☁️ Sincronización

  • Protección anti-rollback: cada bóveda lleva un número de revisión dentro del blob cifrado; si el servidor intenta devolver una versión más vieja, la sincronización se rechaza.
  • Límite de tamaño en descargas (50 MB) para evitar que un servidor malicioso agote memoria.

🔑 Contraseña maestra

  • Mínimo elevado a 12 caracteres (antes 6) y validación del máximo de 72 bytes que impone bcrypt.

🧹 Otros arreglos

  • Rate limiting de login ahora es por usuario, no global.
  • Exportar bóveda valida symlinks y reporta si alguna entrada se omitió por error de descifrado.
  • Eliminar una entrada revierte los cambios en memoria si falla el guardado a disco, evitando que la UI y el archivo queden desincronizados.
  • Se corrigió un bug visual donde el badge 🔑2FA aparecía en entradas que no tenían TOTP configurado.

Este release fue desarrollado con la asistencia de Claude Fable 5 (Anthropic), que realizó la auditoría de seguridad inicial e implementó los arreglos.

La bóveda viaja SIEMPRE cifrada de extremo a extremo. El servidor nunca ve tus contraseñas. 🔐

Version 0.5

Choose a tag to compare

@Qmaker-programmer Qmaker-programmer released this 05 Jul 04:06
bf04b4f

🚀 Release v0.5 · Multi-Vault & Production Sync

image

Una actualización masiva que transforma a NSLY en un gestor multicuentas (Multi-Vault) e introduce un servidor de sincronización de nivel de producción escrito completamente en Go puro.

🔐 Cliente TUI (Mejoras Core)

  • Multi-Vault: Soporte para múltiples perfiles locales aislados bajo $HOME/.nsly_vault/{usuario}.
  • Scroll de Usuarios: Interfaz fluida que maneja listas largas de usuarios mediante scroll dinámico.
  • Auto-Lock: Bloqueo automático por inactividad tras 5 minutos para proteger tus datos en memoria.
  • Filtro en Vivo: Presiona / dentro de tus contraseñas para buscar instantáneamente sin cambiar de pantalla.
  • Edición Directa: Presiona E sobre cualquier entrada para modificarla en el lugar (en vez de duplicarla).
  • Generador Master Pass: Presiona Ctrl+G al crear un usuario para generar una clave maestra segura e irreproducible.

🌐 Servidor de Sincronización (server-example/)

  • Go Puro: Migración completa del script de Node a un backend robusto en Go, libre de dependencias externas.
  • Multi-Tenant: Manejo de múltiples bóvedas remotas de forma segura con almacenamiento atómico y backups automáticos (.bak).
  • Seguridad Hash: Los tokens de autenticación se procesan usando SHA-256 y comparaciones en tiempo constante.
  • Production Ready: Dockerfile optimizado (distroless), docker-compose.yml preconfigurado con proxy inverso Caddy (HTTPS automático via mkcert/Let's Encrypt) y servicio Systemd con hardening.

La bóveda viaja SIEMPRE cifrada de extremo a extremo. El servidor nunca ve tus contraseñas. 🔐

Version 0.1

Choose a tag to compare

@Qmaker-programmer Qmaker-programmer released this 22 Jun 20:53

Primera Version de NSLY Vault
image