Программирование[10]

турок, плиз

не безопасно, но кому ты нахуй нужен?

saegSveta said 2 hours ago:

пацаны подскажите пожалуйста, насколько безопасно с вайфая в турецком отеле заходить в приложения банка/инвестиций? есть вероятность что чучбеки моими данными смогут воспользоваться? 

 

я рачок в этом полный поэтому сорри за такой глупый вопрос

чел, не используй паблик вай фаи для таких вещей. особенно турецкий.

saegSveta написал 2 часа назад:

пацаны подскажите пожалуйста, насколько безопасно с вайфая в турецком отеле заходить в приложения банка/инвестиций? есть вероятность что чучбеки моими данными смогут воспользоваться? 

 

я рачок в этом полный поэтому сорри за такой глупый вопрос

безопастно 

и сайты коотрые https тоже безопастно
единственное что они могут - утсановить факт коннекта и наличия объема трафика. это на случай если ты ЦП захочешь распространять например

вообще это вопрос в службу ИБ банка и их ответственности (если они проебутся в приложении и что-то сджелают не безопасно то должны будут вернуть)

Just.Doit написал 39 минут назад:

saegSveta написал 3 часа назад:

пацаны подскажите пожалуйста, насколько безопасно с вайфая в турецком отеле заходить в приложения банка/инвестиций? есть вероятность что чучбеки моими данными смогут воспользоваться? 

 

я рачок в этом полный поэтому сорри за такой глупый вопрос

безопастно 

и сайты коотрые https тоже безопастно
единственное что они могут - утсановить факт коннекта и наличия объема трафика. это на случай если ты ЦП захочешь распространять например

 

вообще это вопрос в службу ИБ банка и их ответственности (если они проебутся в приложении и что-то сджелают не безопасно то должны будут вернуть)

 

а нахуя тогда всем советуют паблик вай фаи пользовать только через впн? так-то какой-нибудь чел с ноутом и кали линукс вполне может перехватить вай файные фреймы, и что он оттуда сможет вытащить - только он и знает

madvlaydin написал 20 минут назад:

Just.Doit написал 1 час назад:

saegSveta написал 3 часа назад:

пацаны подскажите пожалуйста, насколько безопасно с вайфая в турецком отеле заходить в приложения банка/инвестиций? есть вероятность что чучбеки моими данными смогут воспользоваться? 

 

я рачок в этом полный поэтому сорри за такой глупый вопрос

безопастно 

и сайты коотрые https тоже безопастно
единственное что они могут - утсановить факт коннекта и наличия объема трафика. это на случай если ты ЦП захочешь распространять например

 

вообще это вопрос в службу ИБ банка и их ответственности (если они проебутся в приложении и что-то сджелают не безопасно то должны будут вернуть)

 

а нахуя тогда всем советуют паблик вай фаи пользовать только через впн? так-то какой-нибудь чел с ноутом и кали линукс вполне может перехватить вай файные фреймы, и что он оттуда сможет вытащить - только он и знает

я ебу зачем всем советуют
ты расскажи, раз эксперт

речь шла не про использование вифи в принципе

а про использование конкретных аппов

Just.Doit написал 28 минут назад:

madvlaydin написал 49 минут назад:

Just.Doit написал 1 час назад:

saegSveta написал 4 часа назад:

пацаны подскажите пожалуйста, насколько безопасно с вайфая в турецком отеле заходить в приложения банка/инвестиций? есть вероятность что чучбеки моими данными смогут воспользоваться? 

 

я рачок в этом полный поэтому сорри за такой глупый вопрос

безопастно 

и сайты коотрые https тоже безопастно
единственное что они могут - утсановить факт коннекта и наличия объема трафика. это на случай если ты ЦП захочешь распространять например

 

вообще это вопрос в службу ИБ банка и их ответственности (если они проебутся в приложении и что-то сджелают не безопасно то должны будут вернуть)

 

а нахуя тогда всем советуют паблик вай фаи пользовать только через впн? так-то какой-нибудь чел с ноутом и кали линукс вполне может перехватить вай файные фреймы, и что он оттуда сможет вытащить - только он и знает

я ебу зачем всем советуют
ты расскажи, раз эксперт

речь шла не про использование вифи в принципе

а про использование конкретных аппов

насколько я в курсе, базовая опасность - это сохраненные сети

у тебя телефон/компуктер по дефолту к ним цепляется, и там можно фишинг устраивать

понятное дело, что это всё на дурака рассчитано, но как бы у проебавших айфон фишингом айклауд уводят, так что всё ок

далее у тебя воздух - это единая среда передачи данных, в общем случае вай фай приемник отбрасывает левые фреймы, но он их ловит, значит никто не мешает ловить все фреймы, парсить их внутренности вверх по OSI, мейби получится какую-нибудь куку увести

ровно для того впн и пользуют, чтобы шифровать всё, начиная с канального уровня

половина говорит безопасно, половина что нет, ну и кому верить сука

в инете тоже особо нет инфы, только в тинькофф соглашении вот такие скрины нашел, должна ли меня эта инфа успокоить? 

Кукисы тоже шифруются

И уж тем более шифруется соединение из приложения. Лул. Я бы по этому поводу не переживал

Вот по http лучше ничего не делать ценного. Но много ли таких сайтов осталось

https://ru.wikipedia.org/wiki/Атака_посредника

Если впадлу читать, то через левую точку доступа тебя разъебут за нехуй делать, если захотят.

saegSveta said 19 minutes ago:

половина говорит безопасно, половина что нет, ну и кому верить сука

 

в инете тоже особо нет инфы, только в тинькофф соглашении вот такие скрины нашел, должна ли меня эта инфа успокоить? 

чел, тебя могут наебать пока ты коннектишься к этому wifi. + никто не отменял аппаратное изменение хуйни, которая шарит wifi. 

^p1x написал 4 минуты назад:

https://ru.wikipedia.org/wiki/Атака_посредника

Если впадлу читать, то через левую точку доступа тебя разъебут за нехуй делать, если захотят.

 

ну чтоб тебя разъебать - нужно подпихнуть левый корневой сертификат в доверенные операционки или браузера, что сделать не дадут

если у тебя есть доступ к компу через трояны хз или типо того, то можно будет подложить левый сертификат и сделать фишинг с зелёным https-ом в урле

надо просто где-нибудь поискать, что можно сделать с кучей устройств, по дефолту цепляющихся к мосметро например

https://searchsecurity.techtarget.com/definition/Wi-Fi-Pineapple вот хуйня для примера

^p1x написал 12 минут назад:

https://ru.wikipedia.org/wiki/Атака_посредника

Если впадлу читать, то через левую точку доступа тебя разъебут за нехуй делать, если захотят.

 

Такое и с домашней сетью можно провернуть

Но один хуй, что ты сделаешь? Трафик полученный ты не можешь расшифровать. Максимум можешь подсунуть фишинговую страницу. Но браузер сразу варнинг въебет из-за сертификата. И даже если твои кредиты банковского профиля украдут, там надо подтверждать по смс. Но кстати смс будет легче всего перехватить в этой схеме 

А если ты через приложение конектишься, то тогда вообще непонятно что делать

Лол, паблик вайфай митмятся с любого телефона.

Собственноручно подменял картинки через простую APK имея коннект к вайфай сети у других устройств этой сети в целях эксперимента. 

Пикрилейтед список фич искаропки и для телефона.

да что угодно митмится

но это не отменяет того, что ты не можешь обмануть сертификаты, они как бы для этого и были придуманы

Ну и да, буковка S в эндпоинте остается просто буковкой пока нет проверки сертификата, а будет ли она в прилажке интернет-банкинга написанного индусом или оно проглотит подмененный сертификат это уже хуй знает как говорится.

Эм, как ты сделаешь фейковый хост для приложения?

Приведу пример даже, когда я делал сайт для стримснайпинга в пубг и до того как я начал юзать стимапи мне нужно было выдирать стим токен для пабг сессии.

А он передавался в HTTPS запросе, и я устанавливал fiddler и включал в нём собственно сниф HTTPS с подменой сертификатов.

Так вот, если браузеры конечно хуй куда пускали, мол чувак тут сертификат невалидный, то UI в том самом пубг работал без нареканий.

Вот такие дела, и сколько интернет-банкингов могут быть написаны на условном электроне с отключённой проверкой сертификатов? 

besteady написал 3 минуты назад:

Эм, как ты сделаешь фейковый хост для приложения?

Что значит фейковый хост? 

просто делаешь обычную MITM атаку и отдаёшь selfsigned сертификат

Index написал 11 минут назад:

Что значит фейковый хост? 

просто делаешь обычную MITM атаку и отдаёшь selfsigned сертификат

Что ты будешь делать с перехваченным зашифрованным траффиком?