
<p dir="ltr">Well, even if you carry the app with you on a USB stick you'll still need to be able to trust what's on it. Otherwise someone could borrow it and modify the app to, say, send your private key to their web server. So unless you never let the USB stick out of your sight, you'll need to have the block device encrypted and/or have the app cryptographically signed. Either way, you'll need some separate trusted crypto software to either decrypt the block device or verify the app signature. And then you'll still be vulnerable to browser bugs allowing for, say, information leakage or code injection across tabs (although that would probably need to be attacks specifically targeted against your app).</p>

<p dir="ltr">If you do never let the USB stick out of sight - or manually check all the source code each time you use it - then I suppose you should be reasonably safe. If not, I suggest weighing the risks against how paranoid you want to be.</p>

<p dir="ltr">/Emil</p>

<br><div class="gmail_quote"><div dir="ltr">On Wed, 9 Mar 2016, 19:46 eirc, <<a href="mailto:eirc.eirc@gmail.com">eirc.eirc@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I've made this <a href="https://github.com/eirc/pass.js" target="_blank">https://github.com/eirc/pass.js</a> which is a simple webpage where you drop the key & encrypted file and it decrypts the file in the browser. Many people have raised concerns about JavaScript security and I don't know if it really fits your use case but I'll just throw it out there.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 8, 2016 at 9:14 AM, Sergei G <span dir="ltr"><<a href="mailto:sergeig.public@gmail.com" target="_blank">sergeig.public@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I just run into <a href="https://www.passwordstore.org" target="_blank">https://www.passwordstore.org</a>  and it appears to be a great application.  I especially like many import types.  I would have to import from 1password application as it is getting expensive to keep up.</div><div><br></div><div>I have a self-hosted web server at home and I'd like to be able to access my passwords using web interface.  Is there a web application for that scenario?  Is it easy to maintain for family members?</div><div><br></div><div>Or is it intended that iPhone/Android and other desktop applications can get to the server data?  What is the access method in this case (REST over web, dropbox, ssh, etc)?</div><div><br></div><div><br></div><div>thank you</div></div>

<br>_______________________________________________<br>

Password-Store mailing list<br>

<a href="mailto:Password-Store@lists.zx2c4.com" target="_blank">Password-Store@lists.zx2c4.com</a><br>

<a href="http://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">http://lists.zx2c4.com/mailman/listinfo/password-store</a><br>

<br></blockquote></div><br></div>

_______________________________________________<br>

Password-Store mailing list<br>

<a href="mailto:Password-Store@lists.zx2c4.com" target="_blank">Password-Store@lists.zx2c4.com</a><br>

<a href="http://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">http://lists.zx2c4.com/mailman/listinfo/password-store</a><br>

</blockquote></div>