Программирование[10]

[UglyBastard]

Kant написал 6 минут назад:

мне даже интересно, а где ты видел такие приложения?

чуваки разрабатывающие банковские приложения, неожиданно стали свои транспортные протоколы писать?

земля пухом пользоваться таким банком в таком случае

 

хттпс не умеет работать по "хранящимся" ключам, это дефолтный ссл, там нет никакого хранения ключей, каждое соединение свой хэндшейк делает, где этими ключами и обменивается

В смысле свои протоколы

Шифруешь ключем трафик - пишешь его через tcp в сокет сервера. Сервер расшифровает. Это как раз естественно?

 

А вот то что клиент будет передавать данные по https серверу (зачем??), или что он будет кидать каждый раз ключ при соединении - вот это нихуя не естественно. Можно представить что индус забудет шифрование вообще, сломает проверку сертификатов, но вот то что вы пишете случайно не сделать, это надо специально так делать

Изменено 18 сентября 2021 пользователем besteady

[Kant]

а ключ ты где брать будешь?

если у юзера устройство ключ проебало, ты потерял доступ к банкингу?

 

тлс не передает никаких ключей, алгоритм ассиметричного шифрования этого не предполагает в принципе, поэтому им и пользуется весь интернет

единственное, что тлс не может контролировать, это если ты вообще разговариваешь не с тем, с кем собирался, вот это и решают сертификаты

[Olololnet]

нашёл способ вызывать оператора в сбере

 

 

звоню в сбер, там электроголос предлагает очередную юзлес хуйню. я - нет; нет. электрохуета "чего хотите", далее я в нескольких вариантах медленно на тему "хочу зарегать загран поездку, чтобы не блочило карту на покупках". после 3х попыток донести, электрохуйня говорит "я нипанимат, увы операторы все заняты, попробуйте решить вопрос через сбербанк онлайн, до свиданья"

 

...

 

"ДА ЁБ ТВОЮ МАТЬ"

электрохуйня отвечает "переключаю вас на оператора"

 

[UglyBastard]

Kant написал 2 минуты назад:

если у юзера устройство ключ проебало, ты потерял доступ к банкингу?

да можно на самом деле много чего придумать, сертификаты не краеугольный камень

[Grohuf]

besteady написал 20 минут назад:

речь как раз о том, что банковское приложение не передает новые ключи с каждым подключением

по крайней мере это крайне алогично

а каким образом приложение передает ключи и сколько они действуют ты не знаешь

Симметричные ключи обычно не делают несессионными. Делать свою залупу с шифрованием имеет только в одном случае - если ты не хочешь, чтобы твой протокол кто-то изучал. То есть любой студент может поставить Fiddler и просмотреть траффик интересующего тебя приложения. Если ты хочешь что-то скрыть, то можешь дополнительно зашифровать. Но это поможет только до того момента, как за приложение возьмутся серьезные дяди с дизассемблером.

Изменено 18 сентября 2021 пользователем Grohuf

[UglyBastard]

Olololnet написал 4 минуты назад:

нашёл способ вызывать оператора в сбере

Я просто сказал роботу "нужен оператор" 

[saegSveta]

он в отает на это вроде говорит чето типо давайте все же я попробую вам помочь, но если эту хуйню заспамить то наверное переключит

[UglyBastard]

besteady написал 38 минут назад:

Kant написал 44 минуты назад:

если у юзера устройство ключ проебало, ты потерял доступ к банкингу?

да можно на самом деле много чего придумать, сертификаты не краеугольный камень

почитал как у телеги устроен обмен ключами

короче достаточно хотя бы один раз подсоединиться куда нужно и тогда можно уже будет безопасно дальше менять ключи

либо по идее можно просто иметь что-то что знают только обе стороны

и mitm можно не бояться

Изменено 18 сентября 2021 пользователем besteady

[Index]

Алсо, при должной сноровке можно и хакнуть с e2e шифрованием.

Просто как-то через MITM формруешь у человека в голове идею на переустановку приложения. Это может быть какой-нибудь запрос с баннером вне зашифрованной части или картинкой. Который ты подменяешь и подсовываешь чуваку.

ВАШЕ ПРИЛОЖЕНИЕ СЛОМАНО, УДАЛИТЕ И ПЕРЕУСТАНОВИТЕ ЕГО

Он следует совету и в момент первичного обмена ключами ты их перехватываешь.

[UglyBastard]

Index написал 2 минуты назад:

Просто как-то через MITM формруешь у человека в голове идею на переустановку приложения

 

Index написал 3 минуты назад:

Он следует совету и в момент первичного обмена ключами ты их перехватываешь.

Ну вот это реально будет на совести кодера

[Index]

besteady написал 3 минуты назад:

besteady написал 40 минут назад:

Kant написал 45 минут назад:

если у юзера устройство ключ проебало, ты потерял доступ к банкингу?

да можно на самом деле много чего придумать, сертификаты не краеугольный камень

почитал как у телеги устроен обмен ключами

короче достаточно хотя бы один раз подсоединиться куда нужно и тогда можно уже будет безопасно дальше менять ключи

либо по идее можно просто иметь что-то что знают только обе стороны

и mitm можно не бояться

 

Защита в телеге основана на том, что пользователи могут сверить ключи, а MITM на это повлиять не в силах в силу невозможности оперативно подменить речь.

Но если представить себе какое-нибудь будущее, то возможна ситуация когда Вася звонит Пете и говорит, Вася, у тебя тут

солнце, виктори палатка и 10.

А MITM нейросетка переделывает аудио в "Вася, у тебя тут хуй пизда и ёлка?"

besteady написал Только что:

Вот ты смеешься, а в 21 веке хакерство часто опирается на соц-инженерию чтобы, вынудить человека ляпнуть или сделать что-то что выгодно хакеру. 

[Kant]

besteady написал 7 минут назад:

besteady написал 44 минуты назад:

Kant написал 50 минут назад:

если у юзера устройство ключ проебало, ты потерял доступ к банкингу?

да можно на самом деле много чего придумать, сертификаты не краеугольный камень

почитал как у телеги устроен обмен ключами

короче достаточно хотя бы один раз подсоединиться куда нужно и тогда можно уже будет безопасно дальше менять ключи

либо по идее можно просто иметь что-то что знают только обе стороны

и mitm можно не бояться

 

секретные чаты шифрованы целиком и с концами на клиентских устройствах (ну должны)

и если ты проебал ключ - ты проебал чат

в любых банковских приложениях очевидно этот вариант невозможен

а значит даже если ключи такие есть, ты сможешь триггернуть запрос новых ключей

и вуаля, ты в говне

[UglyBastard]

Kant написал 5 минут назад:

в любых банковских приложениях очевидно этот вариант невозможен

говорю можно шифровать передачу ключей с помощью ключа сгенерированного на основе какой-то информации, которую знает только клиент и банк - пароль например 

Index написал 9 минут назад:

Защита в телеге основана на том, что пользователи могут сверить ключи, а MITM на это повлиять не в силах в силу невозможности оперативно подменить речь.

Но если представить себе какое-нибудь будущее, то возможна ситуация когда Вася звонит Пете и говорит, Вася, у тебя тут

Я чет думал это автоматически сравнивается. Чет хуйня

[Index]

besteady написал 7 минут назад:

это автоматически сравнивается

Ага, по скомпрометированному каналу 

В ИБ простые правила, если у тебя есть защищённый канал(абстрактное понятие), ты на основе его можешь делать бесконечное число защищённых каналов.

Если у тебя изначально нет установленного защищённого канала (обмен ключей при личной встрече это тоже "канал"), то ты можешь пососать хуй.

 

После создания канала ты можешь его провалидировать защищён он или нет, основываясь на другом защищённом канале.

Когда ты в телеге звонишь своему другу вашим защищённым каналом является то, что ты знаешь его голос повадки и манеры ну и вы можете сверить фингерпринт канала.

 

А если ты звонишь своему другу в телеге, а там отвечает какой-то левый голос, то ты можешь сверить с ним фингерпринты и они совпадут, но не факт что там будет твой друг  и ты просто сверял фингерпринты с атакующим

Изменено 18 сентября 2021 пользователем Index

[GoldRobot]

Kant написал 14 минут назад:

 

в любых банковских приложениях очевидно этот вариант невозможен

Почему? Это что-то на уровне проебал бинарь.

[UglyBastard]

Index написал 4 минуты назад:

Ага, по скомпрометированному каналу 

Ну типо считать первое соединение в чате телеги всегда правильным

[Index]

В телеге защищённым каналом является знакомство с тем с кем переписываешься, а если возникает сомнение не прослушивают ли вас вы можете сверить фингерпринты. Если ты будешь писать какому-то незнакомому человеку/разговаривать с незнакомым то можно легко встроить такого же незнакомого человека посередине. 

Но это речь про e2e шифрование в звонках и защищённых чатах.

Изменено 18 сентября 2021 пользователем Index

[Grohuf]

Бля, когда же зарплаты будут 

[Index]

Если так интересно то можно прочесть что-то про ИБ для общего развития, там есть много забавной фигни,

 например почему не стоит шифровать некоторый контент шифрами с блоками одинаковой длины без "соления" ключа предыдущим блоком (ECB vs CBC).

(картинка зашифрована, её не расшифровать, но из неё все равно можно извлечь информацию)

Grohuf написал 3 минуты назад:

Бля, когда же зарплаты будут 

У нас в 10-х числах они, в зарплатные дни даже курс в альфабанке просаживается 

[Kant]

GoldRobot написал 31 минуту назад:

Kant написал 45 минут назад:

 

в любых банковских приложениях очевидно этот вариант невозможен

Почему? Это что-то на уровне проебал бинарь.

причем тут проеб бинаря?

ты когда на мобилу ставишь приложение банкинга, ты что ключи шифрования какие-то вводишь особенные?

нет, и если ты поставил приложение на новую мобилу, ты снова залогинился и ни в чем проблем не испытываешь

значит есть поротокол, который позволяет тебе получить твой "ключ"

кто мешает митму это же сделать, ведь он притворяется сервером, скажет приложению твоей мобилы, что надо повторить всё заново

и тут уже выбор приложения, соглашаться на новый обмен ключами, но если мы предполагаем, что челы не проверяют сертификаты, то эта штука вообще по умолчанию идет.