Программирование[10]

[Grohuf]

besteady написал 56 минут назад:

говорю можно шифровать передачу ключей с помощью ключа сгенерированного на основе какой-то информации, которую знает только клиент и банк - пароль например 

Ты предлагаешь банку знать пароль? очень секьюрно

[UglyBastard]

Grohuf написал Только что:

besteady написал 59 минут назад:

говорю можно шифровать передачу ключей с помощью ключа сгенерированного на основе какой-то информации, которую знает только клиент и банк - пароль например 

Ты предлагаешь банку знать пароль? очень секьюрно

хэш пароля?

[Index]

besteady написал 6 минут назад:

Grohuf написал 6 минут назад:

besteady написал 1 час назад:

говорю можно шифровать передачу ключей с помощью ключа сгенерированного на основе какой-то информации, которую знает только клиент и банк - пароль например 

Ты предлагаешь банку знать пароль? очень секьюрно

хэш пароля?

Ключ тоже будешь по хешу пароля генерировать?

А аутентификацию ты как будешь проводить?

Я имею ввиду ситуацию, вот ты банк, вот у тебя есть эндпоинт

/login

И прилетает туда 

wh75b42t;ip8rgb52;i8y5vl7iqgwvb4rtli8745gt2==

И что ты будешь делать?  перебирать все хеши в базе чтобы расшифровать от кого это пришло?

Или будешь туда в чистом виде пересылать логин + хеш пароля, но тогда злоумышленник тоже перехватит хеш пароля.

[Grohuf]

besteady написал 19 минут назад:

Grohuf написал 20 минут назад:

besteady написал 1 час назад:

говорю можно шифровать передачу ключей с помощью ключа сгенерированного на основе какой-то информации, которую знает только клиент и банк - пароль например 

Ты предлагаешь банку знать пароль? очень секьюрно

хэш пароля?

Ну то есть, если обычно утекает база с хэшами паролей, то потратив прилично времени, брутфорся pbkdf2 хэши, можно по словарю подобрать простой пароль. И даже в этом случае надо еще что-то сделать с двухфакторной авторизацией. Ты же предлагаешь хранить секрет от канала передачи данных, то есть если утечет база хэшей, то злоумышленник сможет сразу провести mitm атаку. Здорово! Секьюрней стало!

 

PS Система шифрования клиентским секретом обычно используется тогда, когда сервер не знает этот секрет. То есть он выступает только как хранилище или транспорт зашифрованных данных

Изменено 18 сентября 2021 пользователем Grohuf

[UglyBastard]

Index написал 19 минут назад:

besteady написал 31 минуту назад:

Grohuf написал 32 минуты назад:

besteady написал 1 час назад:

говорю можно шифровать передачу ключей с помощью ключа сгенерированного на основе какой-то информации, которую знает только клиент и банк - пароль например 

Ты предлагаешь банку знать пароль? очень секьюрно

хэш пароля?

Ключ тоже будешь по хешу пароля генерировать?

А аутентификацию ты как будешь проводить?

Я имею ввиду ситуацию, вот ты банк, вот у тебя есть эндпоинт

/login

И прилетает туда 

wh75b42t;ip8rgb52;i8y5vl7iqgwvb4rtli8745gt2==

И что ты будешь делать?  перебирать все хеши в базе чтобы расшифровать от кого это пришло?

Или будешь туда в чистом виде пересылать логин + хеш пароля, но тогда злоумышленник тоже перехватит хеш пароля.

не, имеется в виду сгенерить симметричный ключ на основании пароля

Изменено 18 сентября 2021 пользователем besteady

[Index]

Как ты передашь и по какому каналу пароль или его хеш на сервер?

Будет ли участвовать этот пароль в аутентификации? 

Что мешает сгенерировать такой же симметричный ключ хакеру?

[UglyBastard]

Index написал 1 минуту назад:

Как ты передашь и по какому каналу пароль или его хеш на сервер?

Будет ли участвовать этот пароль в аутентификации? 

Что мешает сгенерировать такой же симметричный ключ хакеру?

Один раз при регистрации

Да

Незнание пароля

[Index]

>Да

>Незнание пароля

Ну давай разбирать по частям, сервер тоже не знает пароль, он знает хеш.

В аутентификации тоже я так понимаю передаётся хеш.

 

Следовательно и хакер знает хеш перехватывая запрос аутентификации.

[Grohuf]

Чет мне кажется завтра besteady пизда от элазора

[UglyBastard]

Index написал 3 минуты назад:

>Да

>Незнание пароля

Ну давай разбирать по частям, сервер тоже не знает пароль, он знает хеш.

В аутентификации тоже я так понимаю передаётся хеш.

 

Следовательно и хакер знает хеш перехватывая запрос аутентификации.

Не, ну это уже детали

Пусть два хэша будет от одного пароля. Один для аутентификации другой для генерации ключа 

Grohuf написал 1 минуту назад:

Чет мне кажется завтра besteady пизда от элазора

А он ИБешник, что ли?

[Grohuf]

besteady написал 8 минут назад:

А он ИБешник, что ли?

Я так понял, он универ только закончил, а там всю эту фигню преподают.

besteady написал 9 минут назад:

Не, ну это уже детали

Пусть два хэша будет от одного пароля. Один для аутентификации другой для генерации ключа 

Ты по шагам распиши как все проходит. Потому что ты откровенную хуйню пишешь

[Index]

besteady написал 7 минут назад:

Пусть два хэша будет от одного пароля. Один для аутентификации другой для генерации ключа 

Звучит как сокрытие алгоритма (что не является защитой) 

Генерация хеша реферсинженерится в прилаге. Следовательно хакеру остается из хеша А восстановить пароль и получить хеш Б

[scarppy]

голдробот элзеору напишет разъебку

тот придет и с выражением зачитает, бестеаде беги

[UglyBastard]

Index написал 4 минуты назад:

реферсинженерится в прилаге

Ну

От этого трудно защититься

[Just.Doit]

погодите, секьюрити эксперты диванные
в защите сайтов есть паблик ключи и сертификаты, которые подписаны/выданы дроверенным сервером

а то что хакер может получить  свой серт, выданный доверенным сервером, защищается тем что в сертификате есть доп инфа, ограничивающая зону использования данного серта, например для https есть домен на который распространяется действие серта, и доверенный сервер выдает серт только после проверки владения сервером, и рандомный чел не может получить серт на домен тинькова, например. и криптографическое ПО  проверяет это соответствие

как в такой ситуации можно сделать митм без хака девайса или сервера и без компроментации сертификата?

Изменено 18 сентября 2021 пользователем Just.Doit

[ural1qqq]

подскажите пожалуйста программу xsd схемы строить бесплатно... по типу altova xml spy

у меня liquid xml стоит, но там триал 15 дней

[GoldRobot]

Kant написал 2 часа назад:

ты когда на мобилу ставишь приложение банкинга, ты что ключи шифрования какие-то вводишь особенные?

 

Kant написал 2 часа назад:

кто мешает митму это же сделать, ведь он притворяется сервером, скажет приложению твоей мобилы, что надо повторить всё заново

Если регистрация уже произошла, и ключи получены, то помешает это сделать чуваку-в-середке то, что он не сможет представиться как сервер.

Так же, если "внезапно" станет нужно повторить все заного, а не при установке, то я бы сразу заводил АЛЯРМА НАС ЛОМАЮТ.

 

Если это установка и регистрация первичная, то публичные ключи, которые ты получил, тебе всеравно ничего не дадут. Не имея закрытого ключа сервера, ты не поймешь что шлет клиент. Не имея закрытого ключа клиента (который сгенерировался при реустановке или как ты предлагаешь по запросу), ты не поймешь что шлет сервер. И с той и с той стороны у тебя, опять, зашифрованный на глухо траффик. Кроме того, ты даже сэмулировать сервер не сможешь, ибо публичные ключи сервера уже, вероятно, зашиты в бинари приложения.

[GoldRobot]

Вообще бля пацаны, че мы тут ебемся.

@Vova приди всех разьеби. Давно чето тебя нету.

[Index]

Just.Doit написал 1 час назад:

погодите, секьюрити эксперты диванные
в защите сайтов есть паблик ключи и сертификаты, которые подписаны/выданы дроверенным сервером

а то что хакер может получить  свой серт, выданный доверенным сервером, защищается тем что в сертификате есть доп инфа, ограничивающая зону использования данного серта, например для https есть домен на который распространяется действие серта, и доверенный сервер выдает серт только после проверки владения сервером, и рандомный чел не может получить серт на домен тинькова, например. и криптографическое ПО  проверяет это соответствие

как в такой ситуации можно сделать митм без хака девайса или сервера и без компроментации сертификата?

 

Речь например про электрон прилаги где отключена проверка сертификатов 

[Just.Doit]

Index написал 22 минуты назад:

Just.Doit написал 1 час назад:

погодите, секьюрити эксперты диванные
в защите сайтов есть паблик ключи и сертификаты, которые подписаны/выданы дроверенным сервером

а то что хакер может получить  свой серт, выданный доверенным сервером, защищается тем что в сертификате есть доп инфа, ограничивающая зону использования данного серта, например для https есть домен на который распространяется действие серта, и доверенный сервер выдает серт только после проверки владения сервером, и рандомный чел не может получить серт на домен тинькова, например. и криптографическое ПО  проверяет это соответствие

как в такой ситуации можно сделать митм без хака девайса или сервера и без компроментации сертификата?

 

Речь например про электрон прилаги где отключена проверка сертификатов 

это например какие? и наверное должно быть так что что они не должны работать с какой либо сенситив информацией...? иначе нахой такие прилаги