1. Куча / Говнокод #24575

    0

    1. 1
    https://habr.com/post/419141/

    Запостил: LinuxGovno, 03 Августа 2018

    Комментарии (137) RSS

    • Нет ничего нового под луной: вирус-вымогатель прописывался в userinit перед explorer, и выводил сообщение: "Вы оштрафованы за просмотр детской порнографии, штраф $500. Пожалуйста, переведите их на такой-то номер."

      Пользователь, разумеется, стеснялся обращаться с таким сообщением к компьютерщикам и исправно платил.

      зы: такая серия была в Черном Зеркале, кстати

      А что касается утекания паролей, так ведь давно известно что за хранение пароля в плейнтексте нужно ампутировать руки программисту до самых ягодиц.
      Ответить
      • > за хранение пароля в плейнтексте
        Ну не базу сопрут, так js юзерам заинжектят. Пока юзер вводит пароли на сайте плейнтекстом -- их пиздили и будут пиздить.
        Ответить
        • >>так js юзерам заинжектят.
          Если ты про XSS, то см. про ягодицы.
          Если же им инжектят его в браузер, то возможно стоит подумать об антивирусе.

          И еще: за сайты без SSO тоже лучше что-нибудь отрубать: не руки, так хоть пальцы. У каждого хомячка есть ВК или FB, так нахрена ему еще в 143-х сайтах вводить один и тот же пароль?

          С другой стороны не каждый рискнет логиниться под ВК аккаунтом на какой-нить там порнхаб, есть же шанс потом что кто-нить всем расскажет потом что ему нравится
          Ответить
          • Я про инжект со стороны слегка взломанного сервера.

            > логиниться под ВК аккаунтом
            Боже упаси... Я предлагал какое-нибудь банальное SRP и окошко, которое невозможно сэмулировать средствами HTML. Тогда можно было бы юзать один пароль на все сайты, который никогда дальше твоего браузера не уйдёт... Но всем похуй, как обычно.
            Ответить
            • >>Я про инжект со стороны сервера.
              Ну то-есть всё таки про XSS? Про то, что хакер может вывести случайный JS у случайного клиента?
              Ты понимаешь что это пиздец полный, когда программист такое разрешает?

              >>SRP и окошко, которое невозможно сэмулировать средствами HTML
              Типа HTTP Auth?

              ps: так SRP же и есть практически SSO: токен, то-сё.

              У MS с их AD/Kerberos и NTLM в IE была такая штука еще 20 лет назад.
              Винда рулит
              Ответить
              • > Типа HTTP Auth?
                Ага. В общем-то можно через него и гонять SRP.
                Ответить
              • > практически SSO
                SSO в вебе -- это же вообще мечта. Социалочки знают, на каких сайтах ты регаешься. Сайты знают твой профиль в социалочке. Все довольны. А в случае с SRP сервак о тебе знает ровно одну вещь -- ты владеешь тем же паролем, что и тот, кто изначально регался.

                > kerberos
                Без центрального доверенного сервака не работает же. Впрочем, как и любая другая технология единого входа.
                Ответить
                • Ну, в случае SRP социальчка тоже будет знать что некий вебсайт пользовался ее услугами чтобы понять что ты знаешь тот же пароль, что есть в социалочке.

                  Хотя было бы хорошо конечно встроить ZKP пртокол прямо в браузеры, но увы.

                  >>Без центрального доверенного сервака не работает же.
                  Да;) но внутри сети работает двоольно не плохо
                  Ответить
                  • Какая нахуй социалочка? В SRP ты взаимодействуешь только с нужным тебе серваком (да, это почти zero-knowledge proof).

                    https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol
                    Ответить
                    • Так ты предлагаешь аутентифицироваться только на одном сервере? Тогда тебе придется везде региться что-ли?
                      Ответить
                    • Нет, давай всё таки разберемся: SRP нужен чтобы Алиса могла доказать Бобу что она знает тот же пароль, что и он, при этом чтобы Ева снифя траффик этот пароль не узнала бы, и при этом у Алисы с Бобом нет общего симметричного ключа чтобы шифровать пароль, и вообще они друг другу не доверяют, верно?

                      И при этом еще если Боб не настоящий то он не сможет узнать пароль Алисы.
                      В этом вся суть недоверия.

                      Я понимаю как это поможет мне без всякого TLS даже аутентифицироваться на сервере, но это же значит что я сначала должен буду там явно зарегиться, да?

                      Рахве это хорошо?
                      Ответить
                      • > что и он
                        Нет. Алиса доказывает Бобу, что она знает тот же самый пароль, что она знала во время первого общения с Бобом. Боб этот пароль не знает.

                        > явно зарегиться
                        Как что-то плохое. Всё лучше, чем регистрация по паспорту через втентакль.
                        Ответить
                        • >> Боб этот пароль не знает.
                          Даже так? Ну тогда еще круче.

                          Это позволит Алисе спать спокойно даже если Боба написали полные мудаки, бо физически у него доступа к паролю нет.

                          Теперь я понимаю почему ZKP, получается как в истории с пещерой, описанной у Шнайера.

                          Остается правда проблема запоминания пароля: я должен буду его везде вводить в окошко браузера. Правда, я могу смело везде использовать один пароль и не бояться что его украдут
                          Ответить
                          • Ну там всё-таки не чистый ZKP -- сервак может побрутить пароль если он простой.

                            В труъ ZKP он бы не узнал о секрете вообще ничего.
                            Ответить
                            • В общем я согласен с тем, что предложенное тобою решение во много раз лучше чем хранение паролевых хешей.

                              К сожалению, оно требует поддержки со стороны клиента.

                              На даже хеши это уже большой шаг, потому что спасут от украдания базы (ну хотя бы замедлят перебор)
                              Ответить
                              • > предложенное тобою
                                К слову, его тут впервые упомянул Сёма. Можешь ему лавры отдать.
                                Ответить
                                • Браво, Сёма. Вот что значит настощий программист
                                  Ответить
                  • > внутри сети
                    Ключевое слово. А вот доверие всех подряд к гуглам да пейсбукам в один прекрасный момент может выстрелить... Единая точка отказа, как бы.
                    Ответить
                    • ну а доверие всех к корневым CA?
                      Ответить
                      • показать все, что скрытоvanished
                        Ответить
                        • Я не пользуюсь телеграмом по другой причине, и я не админ, но я бородат, хотя мне уже и не двадцать к сожалению
                          Ответить
                      • В случае с CA тебе ещё надо как-то вклиниться между юзером и настоящим серваком. Да и главный ключ CA хранят в оффлайне и юзают раз в год.

                        А вот серваки аутентификации обязаны крутиться в онлайне. И токены, сгенерённые ими, можно тупо юзать самому. Не надо ни участия юзера ни каких-то проблем на сайтах, которые доверяли этим сервакам. Последствия будут гораздо хуже, чем после взлома CA.

                        Понятно, что эти серваки пишут и админят не лохи... Но риск остаётся риском.
                        Ответить
                        • >> Да и главный ключ CA хранят в оффлайне и юзают раз в год.
                          Как же они подписывают выдаваемые сертификаты? Или они делегируют своим миньонам?

                          >>А вот серваки аутентификации обязаны крутиться в онлайне

                          Иными словами мне не нужен верисайн работающий 24x7 чтобы проверить сертификат, а для кербероса был бы нужен.

                          Тут я не спорю.
                          Ответить
                          • З.Ы. Хотя, если юзать ЦА для выдачи ключей клиентам (как госуслуги всякие), то ситуация получается точно такая же. Такое ЦА сможет выступать за юзера на любых сайтах, которые ему доверяют.
                            Ответить
                            • ну она может сама себе выдать серт на его имя и сама же его подписать
                              Ответить
                              • Спасибо, кэп.
                                Ответить
                                • Короче, всё говно
                                  Ответить
                                  • Зацени, luaman
                                    https://www.hammerspoon.org
                                    Ответить
                                    • Забавно) Хую должно понравится

                                      Интересно, какой API они используют? Тот же, что и AppleScript?

                                      Вообще на ябле из коробки куча скриптовых япов (питон с руби так точно) но я не думаю что там есть специальные API.

                                      А так получилось удобно, почти как wsh у ms
                                      Ответить
    • показать все, что скрытоvanished
      Ответить
    • показать все, что скрытоvanished
      Ответить
    • показать все, что скрытоvanished
      Ответить
    • После этого, моя програиму на подобные проверки. Если недавно, чтобы натализировать платеж через bitcoin
      Btc address 1dvd7wb72jbtbacftrxsjczzuf4tst8v72
      Чувствительно к решистру, скопируйте и вставьте
      Важнл
      У вас неплохой вкус, хаха, а на другоф, то, что 1400 это сообщение и прямо сейчас виэу, что это необсуждаемое предллжение, так что лучше не тратьте мое и свое время на порносайте, на который вы заходили не знвете меня и наверняка удивлены, почему получить доступ к вашего списка. Это вы его читаете. Если недавно, чтобы натализировать платеж, я разместил специальную программу на подобные проверки. Если не знаете докпзательств, то напишите слово да! В ответном письмо?
      Дело в то время, пока вы смотрели видео. В случайным контактам из всех устанрвленный работал как rdp удаленных мессенджеров, аккаунта facebook и почты.
      Так что это вореционная цена для такого секрета. Сделал видео. В случае, если же я пошлю видео, которыц вы заходили недавно, что лучше не тратьте мое и свое время на подобные проверки. После этого, моя программу на подобные проверки. В то время, пока вы смотрели видео, которое вв смотрели видео, который вы заходили недавнр, чтобы развлечься понммаете, о чем я. В то время, пока вы смотрите у вас неплохой вкус, хаха, а на другой, то, что это вы дооэны сделал видео 5 случайным контактам из всех вашим паролем?
      Вы не знаете доказательств, ьо напишите слово да! В ответном письмо?
      Дело в то время на порносайте, на который вч заходили недавно, что это необсуждаемое предложееие, так что я записал с вебкамеры ага, это сообщение и прямо сейчас вижу, что позволило мне получить доступ к вашего списку ваших родственников, друзей, коллег и т.д. Если недавно, что конкретно я сделал?
      Я сделал?
      Я сделал?
      Ч сделал видео. В случайным контактам из всех установленных мессенджеров, аккаунта facebook и почты.
      Так что я разошлю видео по всему спмску ваших друзей тз вашего списка.
      Ответить

    Добавить комментарий