Bitwarden已自动错误发送基本身份验证登录

今天我在一个只能通过BasicAuth访问的域名上。然后当我不需要登录的时候，我真的很害怕。即使在隐姓埋名模式下，页面也无需登录即可看到。我的基本身份验证是否已损坏？结果是：没有，但是@Bitwarden已经自动为我登录了。1/6。

Bitwarden自动发送HTTP Authorization标头。HTTP授权请求标头包含向服务器验证用户身份的凭据。即使禁用了自动填充，也会发生这种情况。人们可能会认为，这并不是那么悲惨。但情况正在变得更糟。2/6。

使用"；基域"；作为默认URI匹配检测(bitwarden.com/Help/…/u)。。这意味着：BAD\.Example\.com与Good\.Example\.com相同。因此，Bitwarden可能会自动(！！)。将我的密码泄露到其他子域。3/6。

在我的情况下，这不是那么有问题，因为所有的子域都属于我。尽管如此，Bitwarden仍然会将我的密码泄露给其他子域，因此可能还会泄露给其他服务器。我认为这是一个严重的攻击载体。4/6。

这应该不会发生，尤其是关闭自动填充时。这个问题从一月份就已经知道了，所以超出了漏洞赏金的范围。欢迎在gihub上对这一问题进行投票：github.com/bitwarden/brow…。5/6。

然而，我相信Bitwarden属于更好的密码管理器。比特沃登现在是，也可以是完全自我托管的。6/6。

更新：比特沃登(Bitwarden)反应迅速(在周日！)。已有拉取请求：github.com/bitwarden/brow…。8/6