- 1
https://habr.com/post/419141/
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
0
https://habr.com/post/419141/
roskomgovno 03.08.2018 21:05 # 0
Пользователь, разумеется, стеснялся обращаться с таким сообщением к компьютерщикам и исправно платил.
зы: такая серия была в Черном Зеркале, кстати
А что касается утекания паролей, так ведь давно известно что за хранение пароля в плейнтексте нужно ампутировать руки программисту до самых ягодиц.
bormand 03.08.2018 21:26 # 0
Ну не базу сопрут, так js юзерам заинжектят. Пока юзер вводит пароли на сайте плейнтекстом -- их пиздили и будут пиздить.
roskomgovno 03.08.2018 21:32 # 0
Если ты про XSS, то см. про ягодицы.
Если же им инжектят его в браузер, то возможно стоит подумать об антивирусе.
И еще: за сайты без SSO тоже лучше что-нибудь отрубать: не руки, так хоть пальцы. У каждого хомячка есть ВК или FB, так нахрена ему еще в 143-х сайтах вводить один и тот же пароль?
С другой стороны не каждый рискнет логиниться под ВК аккаунтом на какой-нить там порнхаб, есть же шанс потом что кто-нить всем расскажет потом что ему нравится
bormand 03.08.2018 21:36 # 0
> логиниться под ВК аккаунтом
Боже упаси... Я предлагал какое-нибудь банальное SRP и окошко, которое невозможно сэмулировать средствами HTML. Тогда можно было бы юзать один пароль на все сайты, который никогда дальше твоего браузера не уйдёт... Но всем похуй, как обычно.
roskomgovno 03.08.2018 21:47 # 0
Ну то-есть всё таки про XSS? Про то, что хакер может вывести случайный JS у случайного клиента?
Ты понимаешь что это пиздец полный, когда программист такое разрешает?
>>SRP и окошко, которое невозможно сэмулировать средствами HTML
Типа HTTP Auth?
ps: так SRP же и есть практически SSO: токен, то-сё.
У MS с их AD/Kerberos и NTLM в IE была такая штука еще 20 лет назад.
Винда рулит
bormand 03.08.2018 21:48 # 0
Ага. В общем-то можно через него и гонять SRP.
guest8 03.08.2018 21:55 # −999
bormand 03.08.2018 21:57 # 0
SSO в вебе -- это же вообще мечта. Социалочки знают, на каких сайтах ты регаешься. Сайты знают твой профиль в социалочке. Все довольны. А в случае с SRP сервак о тебе знает ровно одну вещь -- ты владеешь тем же паролем, что и тот, кто изначально регался.
> kerberos
Без центрального доверенного сервака не работает же. Впрочем, как и любая другая технология единого входа.
roskomgovno 03.08.2018 22:04 # 0
Хотя было бы хорошо конечно встроить ZKP пртокол прямо в браузеры, но увы.
>>Без центрального доверенного сервака не работает же.
Да;) но внутри сети работает двоольно не плохо
bormand 03.08.2018 22:07 # 0
https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol
roskomgovno 03.08.2018 22:13 # 0
roskomgovno 03.08.2018 22:19 # 0
И при этом еще если Боб не настоящий то он не сможет узнать пароль Алисы.
В этом вся суть недоверия.
Я понимаю как это поможет мне без всякого TLS даже аутентифицироваться на сервере, но это же значит что я сначала должен буду там явно зарегиться, да?
Рахве это хорошо?
bormand 03.08.2018 22:26 # 0
Нет. Алиса доказывает Бобу, что она знает тот же самый пароль, что она знала во время первого общения с Бобом. Боб этот пароль не знает.
> явно зарегиться
Как что-то плохое. Всё лучше, чем регистрация по паспорту через втентакль.
roskomgovno 03.08.2018 22:29 # 0
Даже так? Ну тогда еще круче.
Это позволит Алисе спать спокойно даже если Боба написали полные мудаки, бо физически у него доступа к паролю нет.
Теперь я понимаю почему ZKP, получается как в истории с пещерой, описанной у Шнайера.
Остается правда проблема запоминания пароля: я должен буду его везде вводить в окошко браузера. Правда, я могу смело везде использовать один пароль и не бояться что его украдут
bormand 03.08.2018 22:39 # 0
В труъ ZKP он бы не узнал о секрете вообще ничего.
roskomgovno 03.08.2018 22:41 # 0
К сожалению, оно требует поддержки со стороны клиента.
На даже хеши это уже большой шаг, потому что спасут от украдания базы (ну хотя бы замедлят перебор)
bormand 03.08.2018 22:42 # 0
К слову, его тут впервые упомянул Сёма. Можешь ему лавры отдать.
roskomgovno 03.08.2018 22:44 # 0
bormand 03.08.2018 22:10 # 0
Ключевое слово. А вот доверие всех подряд к гуглам да пейсбукам в один прекрасный момент может выстрелить... Единая точка отказа, как бы.
roskomgovno 03.08.2018 22:15 # 0
guest8 03.08.2018 22:20 # −999
roskomgovno 03.08.2018 22:21 # 0
bormand 03.08.2018 22:22 # 0
А вот серваки аутентификации обязаны крутиться в онлайне. И токены, сгенерённые ими, можно тупо юзать самому. Не надо ни участия юзера ни каких-то проблем на сайтах, которые доверяли этим сервакам. Последствия будут гораздо хуже, чем после взлома CA.
Понятно, что эти серваки пишут и админят не лохи... Но риск остаётся риском.
roskomgovno 03.08.2018 22:25 # 0
Как же они подписывают выдаваемые сертификаты? Или они делегируют своим миньонам?
>>А вот серваки аутентификации обязаны крутиться в онлайне
Иными словами мне не нужен верисайн работающий 24x7 чтобы проверить сертификат, а для кербероса был бы нужен.
Тут я не спорю.
bormand 03.08.2018 22:31 # 0
roskomgovno 03.08.2018 22:34 # 0
bormand 03.08.2018 22:37 # 0
roskomgovno 03.08.2018 22:39 # 0
Desktop 04.08.2018 13:10 # 0
https://www.hammerspoon.org
roskomgovno 04.08.2018 16:34 # 0
Интересно, какой API они используют? Тот же, что и AppleScript?
Вообще на ябле из коробки куча скриптовых япов (питон с руби так точно) но я не думаю что там есть специальные API.
А так получилось удобно, почти как wsh у ms
guest8 04.08.2018 08:48 # −999
bormand 04.08.2018 09:06 # 0
roskomgovno 04.08.2018 16:16 # 0
--Больной ублюдок
guest8 04.08.2018 16:31 # −999
guest8 04.08.2018 16:33 # −999
roskomgovno 04.08.2018 16:40 # 0
Но почему они все такие? Там же, блядь, сидят видущие праграммисты, не?
guest8 04.08.2018 16:44 # −999
roskomgovno 04.08.2018 16:51 # 0
--Давай пошлем ему ссылку: "горячие сучки сделали это"
Ссылка: "чтобы посмотреть видео -- придумайте себе пароль"
в 98% случаев пароль подойдет ко всем сервисам
guest8 04.08.2018 16:57 # −999
guest8 04.08.2018 21:45 # −999
guest8 04.08.2018 16:53 # −999
guest8 04.08.2018 21:43 # −999
bormand 04.08.2018 17:48 # 0
guest8 04.08.2018 17:58 # −999
guest8 04.08.2018 21:43 # −999
bormand 04.08.2018 21:48 # 0
roskomgovno 04.08.2018 21:49 # 0
bormand 04.08.2018 22:12 # 0
guest8 04.08.2018 22:34 # −999
guest8 04.08.2018 09:28 # −999
bormand 04.08.2018 09:44 # 0
guest8 04.08.2018 11:14 # −999
roskomgovno 04.08.2018 16:33 # 0
дебилы хранят пароль на сервере, и выдают его в браузер по аджаксу и проставляют value у input?
Пароль "над пропастью во ржи", лол
guest8 04.08.2018 16:35 # −999
roskomgovno 04.08.2018 16:37 # 0
<input type="password" value="Theryecatcher"/> не сработает
Ну в общем я не буду в очередной раз подымать нытье про то, какой пиздец когда сервер знает твой пароль плейнтекстом
bormand 04.08.2018 17:50 # 0
roskomgovno 04.08.2018 18:01 # 0
Но клиенту-то зачем пароль отдавать? Чтобы его там спиздил юзерскрипт какой-нить?
guest8 04.08.2018 18:09 # −999
roskomgovno 04.08.2018 18:22 # 0
Можно ли было без байндинга сделать лукап типа ([email protected]) и узнать фамилию?
Как это поддерживалось?
guest8 04.08.2018 18:42 # −999
guest8 04.08.2018 18:49 # −999
guest8 04.08.2018 19:02 # −999
guest8 04.08.2018 19:04 # −999
guest8 04.08.2018 20:04 # −999
guest8 05.08.2018 01:02 # −999
guest8 05.08.2018 01:23 # −999
guest8 05.08.2018 01:03 # −999
roskomgovno 04.08.2018 22:31 # 0
ну-ка, ставь себе openldap (если на никсах) или ldp.exe (если на винде) и давай смотреть что там
guest8 04.08.2018 18:22 # −999
guest8 04.08.2018 18:23 # −999
roskomgovno 04.08.2018 18:25 # +1
Никак никто не осилит. Есть еще бесячка про PDC: это термин времен доменов на Windows NT. С W2K (то-есть примерно уже 20 лет) он не имеет смысла (там нет "выделенного главного контрллера") но им все ползуются
guest8 04.08.2018 18:31 # −999
HighVoltageCock 04.08.2018 18:56 # 0
guest8 04.08.2018 18:58 # −999
guest8 04.08.2018 19:01 # −999
guest8 04.08.2018 22:57 # −999
HighVoltageDick 04.08.2018 22:57 # −1
Факт.
guest8 04.08.2018 23:04 # −999
roskomgovno 04.08.2018 22:42 # 0
HighVoltageDick 04.08.2018 22:54 # −1
Факт.
guest8 04.08.2018 19:40 # −999
bormand 04.08.2018 18:15 # 0
guest8 04.08.2018 18:20 # −999
roskomgovno 04.08.2018 18:26 # 0
bormand 04.08.2018 18:27 # 0
guest8 04.08.2018 18:32 # −999
guest8 04.08.2018 18:45 # −999
guest8 04.08.2018 16:39 # −999
roskomgovno 04.08.2018 16:52 # 0
--Так не ходит в тень, если там так жарко
guest8 04.08.2018 19:41 # −999
guest8 04.08.2018 22:35 # −999
PACTPOBblu_nemyx 06.05.2019 03:18 # 0
—– А у нас всегда, когда черёмуха цветёт, холодно.
–— А нафига вы её сажаете?
AHCKujlbHblu_netyx 06.05.2019 11:44 # 0
bormand 04.08.2018 10:12 # 0
Что-то мне намекает, что это излишнее доверие к крупным сервисам когда-нибудь выстрелит и интернет рассыпется как карточный домик...
guest8 04.08.2018 11:16 # −999
roskomgovno 04.08.2018 16:29 # 0
а приватные ключи от ssh не просят?
guest8 04.08.2018 16:40 # −999
roskomgovno 04.08.2018 16:54 # 0
Кстати, я знаю реальные случаи такой вот социальной инженерии:
"
From: [email protected]
To: [email protected]
Здравствуйте Василий,
В последнее время участились случаи неавторизированного доступа к почтовым службам со стороны третьих лиц.
В целях предотвращения подобных случаев пожалуйста ответьте на следующий вопрос:
"Девичья фамилия матери"
С уважением, служба безопасности компании Rambler"
Люди реально отвечают
guest8 04.08.2018 17:06 # −999
guest8 04.08.2018 18:26 # −999
guest8 04.08.2018 18:25 # −999
guest8 04.08.2018 11:31 # −999
guest8 04.08.2018 11:33 # −999
guest8 04.08.2018 11:35 # −999
guest8 04.08.2018 18:26 # −999
guest8 04.08.2018 21:24 # −999
guest8 04.08.2018 11:51 # −999
roskomgovno 04.08.2018 17:00 # 0
>>В 1999 году хакеры выявили брешь в безопасности в Hotmail, которая позволяет кому угодно войти в любой аккаунт, используя пароль «eh»
ахахах
guest8 04.08.2018 17:07 # −999
roskomgovno 04.08.2018 17:23 # 0
И да: у меня вот домены продлеваются автоматически: почему юрлица не могут так сделать?
guest8 04.08.2018 17:44 # −999
roskomgovno 04.08.2018 17:49 # 0
guest8 04.08.2018 18:28 # −999
roskomgovno 04.08.2018 18:37 # 0
guest8 04.08.2018 20:05 # −999
HighVoltageCock 04.08.2018 21:05 # −1
guest8 04.08.2018 21:17 # −999
guest8 04.08.2018 21:18 # −999
AHCKujlbHblu_netyx 06.05.2019 11:45 # −1
XAPDKOPHblu_nemyx 06.05.2019 11:57 # −1
guest8 06.05.2019 11:58 # −999
Hu3KoypoBHeBblunemyx 06.05.2019 12:05 # −1
npo6JIEMHblu_nemyx 07.05.2019 02:13 # −1
guest8 04.08.2018 11:55 # −999
guest8 04.08.2018 21:52 # −999
roskomgovno 04.08.2018 21:54 # −2
guest8 04.08.2018 22:31 # −999
guest8 05.08.2018 00:27 # −999
HighVoltageDick 05.08.2018 00:28 # −1
guest8 05.08.2018 00:53 # −999
roskomgovno 05.08.2018 00:28 # 0
HighVoltageDick 05.08.2018 00:30 # −1
roskomgovno 05.08.2018 00:31 # 0
HighVoltageDick 05.08.2018 00:33 # −1
roskomgovno 05.08.2018 00:35 # 0
guest8 05.08.2018 00:53 # −999
gost 06.08.2018 05:32 # −1
Btc address 1dvd7wb72jbtbacftrxsjczzuf4tst8v72
Чувствительно к решистру, скопируйте и вставьте
Важнл
У вас неплохой вкус, хаха, а на другоф, то, что 1400 это сообщение и прямо сейчас виэу, что это необсуждаемое предллжение, так что лучше не тратьте мое и свое время на порносайте, на который вы заходили не знвете меня и наверняка удивлены, почему получить доступ к вашего списка. Это вы его читаете. Если недавно, чтобы натализировать платеж, я разместил специальную программу на подобные проверки. Если не знаете докпзательств, то напишите слово да! В ответном письмо?
Дело в то время, пока вы смотрели видео. В случайным контактам из всех устанрвленный работал как rdp удаленных мессенджеров, аккаунта facebook и почты.
Так что это вореционная цена для такого секрета. Сделал видео. В случае, если же я пошлю видео, которыц вы заходили недавно, что лучше не тратьте мое и свое время на подобные проверки. После этого, моя программу на подобные проверки. В то время, пока вы смотрели видео, которое вв смотрели видео, который вы заходили недавнр, чтобы развлечься понммаете, о чем я. В то время, пока вы смотрите у вас неплохой вкус, хаха, а на другой, то, что это вы дооэны сделал видео 5 случайным контактам из всех вашим паролем?
Вы не знаете доказательств, ьо напишите слово да! В ответном письмо?
Дело в то время на порносайте, на который вч заходили недавно, что это необсуждаемое предложееие, так что я записал с вебкамеры ага, это сообщение и прямо сейчас вижу, что позволило мне получить доступ к вашего списку ваших родственников, друзей, коллег и т.д. Если недавно, что конкретно я сделал?
Я сделал?
Я сделал?
Ч сделал видео. В случайным контактам из всех установленных мессенджеров, аккаунта facebook и почты.
Так что я разошлю видео по всему спмску ваших друзей тз вашего списка.