v1.31.6 publicada en Firefox Add-ons

Tu vault de contraseñas,
bajo tu control total

Gestor cifrado con AES-256-GCM y argon2id. Self-hosted en tu propio servidor. Extensión para Chrome y Firefox. Sin suscripciones, sin terceros.

Instalar en Firefox Ver en GitHub
Self-hosted
Sin suscripción
AES-256-GCM
Sin telemetria
vault.joneshys.com
Vault Desbloqueado
Buscar credencial...
G
GitHub
[email protected]
S
SonarQube
admin
A
ArgoCD
admin@cluster
GitHub - 2FA
482 917

Lo que tienes hoy

Funciones reales, disponibles en la version actual. Sin roadmap inflado.

Cifrado de grado militar
AES-256-GCM con claves derivadas via argon2id. Los datos se cifran en el servidor antes de escribirse al disco.
CipherAES-256-GCM
KDFargon2id
Salt16 bytes random
Nonce12 bytes GCM
OWASP compliant
Extension de navegador
Detecta formularios de login, autocompleta credenciales y copia codigos 2FA. Publicada en Chrome Web Store y Firefox Add-ons.
Firefox v1.31.6
Chrome v1.31.8
2FA / TOTP integrado
Guarda secretos TOTP con cada entrada y genera los codigos directamente desde el vault o la extension.
TOTP RFC 6238
Multi-usuario con roles
Cuentas independientes con roles admin/member. Compartir entradas cifradas entre usuarios via criptografia asimetrica P-256.
ECC P-256
Acceso remoto seguro
Tunnel Cloudflare para acceder al vault desde cualquier lugar sin exponer puertos. HTTPS con certificado gestionado.
Cloudflare Tunnel
Import / Export
Importa desde KeePass, CSV, y otros gestores. Exporta tu vault cifrado o en claro para backups.
KeePass
CSV

Por que self-hosted es diferente

No dependes de ningun servicio de terceros. Tus contrasenas viven en tu servidor.

Datos 100% bajo tu control
El vault se almacena en tu propio servidor (k3s, VPS, Raspberry Pi). Si el servicio desaparece, tus datos no.
Cifrado antes del almacenamiento
La master password nunca viaja al servidor. La clave de cifrado se deriva localmente via argon2id y nunca se persiste.
Sin telemetria ni analytics
No hay tracking, no hay beacons, no hay llamadas a servidores de terceros. El codigo es auditable en GitHub.
Rate limiting y proteccion brute-force
Limite de intentos por IP, lockout de cuenta por username, MFA obligatorio configurable.
Especificaciones de seguridad
Cifrado de datosAES-256-GCM
Derivacion de claveargon2id
Memoria argon264 MB
Time cost3 iteraciones
Salt16 bytes (128 bit)
Firma de sesionHMAC-SHA256
Criptografia E2EECC P-256
2FATOTP / RFC 6238
TLSCloudflare TLS 1.3
OWASP Top 10Implementado

Como funciona

Tres pasos desde instalar hasta autocompletar en cualquier sitio.

01 - Instala
Despliega el servidor
El backend FastAPI corre en tu servidor (k3s, Docker, VPS). El primer usuario que se registra se convierte en admin.
02 - Configura
Agrega tus credenciales
Desde la web app, crea entradas con usuario, contrasena, URL y secreto TOTP opcional. Importa desde KeePass o CSV si ya tienes datos.
03 - Usa
Autocompleta en el navegador
La extension detecta formularios de login y te ofrece las credenciales del sitio. Un clic y listo. Tambien copia el codigo 2FA.
Firefox Add-ons →

Extension de navegador

Disponible en Firefox y Chrome.

Firefox
v1.31.6 - MV3
Publicada en AMO

Disponible en Firefox Add-ons. Requiere Firefox 142 o superior. Detecta formularios, autocompleta credenciales y genera codigos 2FA.

Instalar en Firefox
Chrome
v1.31.8 - MV3
Publicada en CWS

Disponible en Chrome Web Store. Requiere Chrome 88 o superior. Detecta formularios, autocompleta credenciales y genera codigos 2FA.

Instalar en Chrome

Actualizaciones

Historial de versiones. Cambios reales en cada release.

Versiones
v1.36.0Jun 2026 v1.35.0Jun 2026 v1.34.0Jun 2026 v1.33.0Jun 2026 v1.29.0–v1.32.0Jun 2026 v1.28.0Jun 2026 v1.27.xMay 2026
v1.36.0 2026-06-14 MFA Enforcement Policy + Extension URL + Firefox AMO Actual
Seguridad — MFA Enforcement (ADR-017)
  • Política de enforcement MFA por organización: GET / PATCH /organizations/me/mfa-policy
  • Grace period configurable (default 72 h) — header X-MFA-Grace-Remaining durante el periodo
  • Rutas bypass siempre permitidas: /mfa/enable, /mfa/verify, /auth/me, /auth/logout
  • Solo admin puede activar/desactivar la política — miembros y roles exentos configurables
  • GET /auth/me incluye campo mfa_setup_required
Extensión + Landing
  • Botón "Abrir app web" en la extensión ahora apunta a vault.joneshys.com/app (antes abría localhost)
  • URL Firefox AMO corregida a la URL real publicada
  • Versiones coordinadas en la landing via config JS único
v1.35.0 2026-06-14 Landing Consolidada + Íconos CWS
Landing + UI
  • vault.joneshys.com/ redirige a /landing/ — una sola landing canónica
  • Íconos teal redondeados (diseño CWS) en extensión Chrome/Firefox y PWA
  • Botones "Abrir Vault" apuntan a /app — sin loop de redirección
v1.34.0 2026-06-14 ADRs + Links Legales Extensión + Pentest Re-Run
Seguridad + Documentación
  • ADR-014 apéndice ARCH-01: limitación zero-knowledge server-assisted documentada; roadmap ADR-018 para v2.0
  • ADR-017: diseño de política MFA opt-in por organización
  • Pentest re-run confirmado en producción: HIGH-01 ✅ MED-01 ✅ MED-03 ✅
  • Links "Privacidad · Términos" en footer del popup de la extensión
v1.33.0 2026-06-13 Security Hardening — Pentest Findings
Correcciones pentest (Vex 🔓)
  • HIGH-01/users/list retorna [] si org_id=None (acceso roto corregido)
  • MED-01/users/{u}/public-key siempre 200 con null (previene enumeración)
  • MED-03RequestIDMiddleware ignora X-Request-ID del cliente
  • mfa_setup_required almacenado en sesión como preparación para ADR-017
  • CSP corregido para rutas /landing (style-src unsafe-inline aislado)
  • CI: 687 tests passed, cobertura 96.82 %
v1.29.0 — v1.32.0 Jun 2026 K8s Stability + Compliance Legal + OWASP + AMO Publish
Infraestructura / K8s
  • Eliminado TrustedHostMiddleware que bloqueaba health checks del kubelet con 400
  • Nuevo endpoint GET /health - siempre retorna 200, no depende del estado del vault
  • Probes actualizadas: liveness -> tcpSocket, readiness -> GET /health
  • Corregido node-ip k3s a 192.168.68.114 - resuelve ArgoCD CrashLoopBackOff de 144 dias
  • IP estatica WiFi configurada - evita que cambios DHCP rompan el cluster
Seguridad
  • Nuevo helper _get_client_ip() - prioriza CF-Connecting-IP para IPs reales detras de Cloudflare
  • Rate limiter ahora usa IP real del visitante, no la IP interna del tunnel (fix load test: 35% fallos -> 0%)
SonarQube + Extension
  • Cerrados 4 issues nuevos: ambiguous spacing en EntryList.jsx y ternarios anidados en LoginScreen/UnlockScreen
  • Extension Firefox publicada en AMO con data_collection_permissions correctas
  • innerHTML reemplazado por DOMParser (setHTML) en popup.js para eliminar vectores XSS
v1.28.0 2026-06-01 OWASP Hardening 10/10 + ECC Integration
OWASP Top 10 - Completado
  • A01 - extra=forbid en 24 modelos Pydantic, proteccion parameter pollution
  • A03 - sanitizacion de operadores MongoDB en inputs
  • A05 - ContentTypeMiddleware, RequestIDMiddleware, rate limit en /import y /sync
  • A07 - validacion de complejidad de contrasena, lockout por username (5 intentos / 5 min)
  • private key P-256 movida de window global a closure privado (fix XSS)
  • innerHTML en extension reemplazado por textContent + createElement
Nuevas funciones
  • Criptografia E2E para compartir entradas - ECC P-256 + ECDH
  • Rate limit en POST /auth/register (max 5/min por IP)
  • RequestSizeLimitMiddleware 413 si Content-Length mayor a 2MB
  • RequestTimeoutMiddleware 504 si request mayor a 60s
v1.27.x Mayo 2026 Email Invite + Forced Password Change + E2E Tests
Funciones
  • Sistema de invitacion por email - admin envia invite, usuario activa con cambio de contrasena obligatorio
  • ForcedPasswordChangeModal - bloquea la UI hasta que el usuario cambie la contrasena temporal
  • Pipeline CI/CD completo: 20 jobs incluyendo SAST, DAST-ZAP, Grype, SonarQube, E2E Playwright
  • 64 tests E2E (3 specs: admin, qa_smoke, rigorous)
Correciones
  • Boton Gestionar Usuarios desaparecia tras login con MFA - fix en handleLogin
  • Rate limiter contaba GET /auth/me contra el burst limit - excluidos metodos GET

Empieza a usar Vault

Instala la extension en Firefox o accede al vault directamente. Todo lo que necesitas esta listo.

Instalar extension Firefox Abrir Vault Ver codigo fuente

¿Tienes alguna pregunta?

Escríbenos y te respondemos a la brevedad en [email protected]

0/2000