Программирование[11]

тоже тихо удивляюсь, удалёнка = да. можно поеду вот туда?

Молодой человек, это не для вас удаленка!

Olololnet написал 1 час назад:

тоже тихо удивляюсь, удалёнка = да. можно поеду вот туда?

  Скрыть содержимое

 

ни

  Скрыть содержимое

 

ху

  Скрыть содержимое

я

 

 

 

 

удаленка внутри страны де юре - ты юридически нанят в дочку в стране

да и удаленку еще и прикрыли 

А правильно ли я понимаю что вот условное ПД не хранит мой пароль а только его хеши (ну то есть админ его никак не может узнать) ну вот и нахуя тогда придумывать сто тыщ разных паролей когда можно один но жесткий? 

phosphorique написал 7 минут назад:

А правильно ли я понимаю что вот условное ПД не хранит мой пароль а только его хеши

никто этого не может гарантировать, как и то что твой пароль не логируется где либо

ты можешь смело полагать что твой пароль на пд будет доступен админу пд или любому кому он решит слить базу пд

Just.Doit написал 3 минуты назад:

phosphorique написал 14 минут назад:

А правильно ли я понимаю что вот условное ПД не хранит мой пароль а только его хеши

никто этого не может гарантировать, как и то что твой пароль не логируется где либо

ты можешь смело полагать что твой пароль на пд будет доступен админу пд или любому кому он решит слить базу пд

 

Мне Кант сказал что он не может узнать

Буквально 1в1 ситуация

phosphorique написал 2 минуты назад:

Мне Кант сказал что он не может узнать

ну он может поменять хттп сервер на тот который принимает запрос, логирует все что передано и проксирует в пд

ну это если у него есть доступ до серверов. про админов я имел ввиду не аккаунт на пд с админ правами а сис-админа который имеет рут доступ на серверах

phosphorique написал 21 минуту назад:

А правильно ли я понимаю что вот условное ПД не хранит мой пароль а только его хеши (ну то есть админ его никак не может узнать) ну вот и нахуя тогда придумывать сто тыщ разных паролей когда можно один но жесткий? 

но я не понимаю что ты хочешь решить когда есть автозаполнялки/хранилки паролей. они прекрасно делают тоже самое

Just.Doit написал 3 минуты назад:

phosphorique написал 8 минут назад:

Мне Кант сказал что он не может узнать

ну он может поменять хттп сервер на тот который принимает запрос, логирует все что передано и проксирует в пд

ну это если у него есть доступ до серверов. про админов я имел ввиду не аккаунт на пд с админ правами а сис-админа который имеет рут доступ на серверах

phosphorique написал 23 минуты назад:

А правильно ли я понимаю что вот условное ПД не хранит мой пароль а только его хеши (ну то есть админ его никак не может узнать) ну вот и нахуя тогда придумывать сто тыщ разных паролей когда можно один но жесткий? 

но я не понимаю что ты хочешь решить когда есть автозаполнялки/хранилки паролей. они прекрасно делают тоже самое

А если залогиниться надо на новом устройстве? Только сброс пароля поможет в таком случае. 

Хохлы красавчики СДЭК закриптили локбитом ликнутым и пропатченным под снг. Насколько я понял там гендир подстилка хохляцкая, лизал им жопу а ему на язык насрали. Надеюсь они их еще и с выкупом наебут и нихуя не декриптнут.
Некст яндекс, где тоже 90% анальников - подстилки хохлов.

А самый кайф что хуесосы из BI zone опозорились.

phosphorique написал 1 час назад:

А если залогиниться надо на новом устройстве? Только сброс пароля поможет в таком случае

ставишь туда заполнялку паролей 

ну а вообще у тебя доступ до паролей то есть, вводишь как обычно на новом устройстве. не понял в чем у тебя проблема

Just.Doit said 1 hour ago:

но я не понимаю что ты хочешь решить когда есть автозаполнялки/хранилки паролей. они прекрасно делают тоже самое

Особенно у хромиума крутая автозаполнялка все в открытом виде хранит

thousand cursed enemies написал 2 минуты назад:

Just.Doit написал 1 час назад:

но я не понимаю что ты хочешь решить когда есть автозаполнялки/хранилки паролей. они прекрасно делают тоже самое

Особенно у хромиума крутая автозаполнялка все в открытом виде хранит

кинь линк где прочитать про это

Just.Doit said 7 minutes ago:

thousand cursed enemies said 10 minutes ago:

Just.Doit said 1 hour ago:

но я не понимаю что ты хочешь решить когда есть автозаполнялки/хранилки паролей. они прекрасно делают тоже самое

Особенно у хромиума крутая автозаполнялка все в открытом виде хранит

кинь линк где прочитать про это

https://github.com/moonD4rk/HackBrowserData

Так любой инфостилер работает 
 

Единственное Хром на винде (не хромиум а именно хром) не дает тебе хендл взять на файл с паролями, когда он запущен. Можно вырубить хром, можно в хром инжектнуться и забрать пароли. Можно хендл закрыть или спиздить

thousand cursed enemies написал 1 час назад:

можно в хром инжектнуться и забрать пароли

ну сейм щит когда ты руками будешь вводить

че теперь, ставить арч линукс и 3 слоя защиты от всех возможных рисков?

thousand cursed enemies написал 1 час назад:

Так любой инфостилер работает 

как блять так

 че за общие слова

ты сказал браузер хранит в открытом виде

где инфа как это хранится

как именно инфостиллер работает в плане паролехранилки хрома?

беглый гуглине:

https://superuser.com/questions/146742/how-does-google-chrome-store-passwords

на винде зашифровано

на маке тоже

https://security.stackexchange.com/questions/254692/safe-or-unsafe-to-store-passwords-in-chrome-on-macos

кароче я хз о чем ты блять говоришь

то что нет мастер пароля? а нахуя? если ты из под винды это юзаешь и подразумеваешь атаку на винду - тогда какая разница спросит у тебя винда мастер пароль и потом заиспользует или возьмет свой внутренний ключ и его заиспользует. уровень безопастности почти идентичный

единственное что тебя защитит это физический ключ

но я ебал ходить везде с флешкой, я не член алькаиды чтобы какие-то повышенные риски иметь

Just.Doit said 26 minutes ago:

thousand cursed enemies said 1 hour ago:

можно в хром инжектнуться и забрать пароли

ну сейм щит когда ты руками будешь вводить

че теперь, ставить арч линукс и 3 слоя защиты от всех возможных рисков?

Руками сложнее. Кейлогеру нужна персистентность в системе, как сигнатуры малвари станут детектиться AV удалит ее. Потом еще нужно из всех логов реальные пароли вытащить. А стилер 1 раз отрабатывает и все твои сохраненные пароли куки сторейджи пиздит. А самое главное экстеншены. Дальше из условного метамаска вытаскиваются vaultы и брутится (если не нашелся пароль в системе записанный).

Windows в 1000 раз более безопасная система чем Linux. Даже макось более безопасная чем линукс. В линуксе нет аналогов ни Virtualization based security ни Credential Guard ни Intel CET(Shadow Stack) который полностью убивает ROP эксплоиты. Это очень мощные механизмы защиты и усложняют жизнь атакующему в 1000 раз.  Потому перейти на линукс на хосте это не сильно лучше. Единственное преимущество линукса - на него всем похуй.

Для хорошей личной безопасности  - виртуальные машины, на хосте интернет офнут.
 Как qubes os делает. У нее отдельный guest для паролей с keepaсом  и чтобы в буфер другого guesта вставить пароль нужно хоткей нажать.

 

Пароли тащатся и при запущенном хроме, если там ничего не поменялось. Локнут на чтение только файл сессии. Хотя я давно не проверял, мб базы начали открывать без возможности их копировать (но тут понадобится модификация в sqlite).

Вообще, безопасность данных в хроме просто убога, ничего там сохранять нельзя. В яндекс.браузере используется мастер пароль, если пользователь его задаст, конечно.

Что касается нового устройства - можно использовать синхронизацию (вроде там в хроме тоже все в очень плачевном состоянии, лет 10 назад было лучше).

На маке там все в кейчейне хранится, поэтому все более-менее. Кроме того, там сейчас лепят ограничения на доступ к данным чужих приложений. Из сафари уже ничего не проимпортировать.

Но в целом парольный менеджер с мастер паролем и синхронизацией - как бы выход для озвученной выше проблемы. Есть, правда, один момент. Иногда пользователи удаляют пароль сами, а потом обращаются в поддержку, чтобы восстановить. Если безопасность максимальна, то восстановить нельзя. Так что сгенеренные пароли стоит использовать только на сайтах, где пароль можно восстановить.

Grohuf написал 7 часов назад:

Вообще, безопасность данных в хроме просто убога, ничего там сохранять нельзя. В яндекс.браузере используется мастер пароль, если пользователь его задаст, конечно.

пошла интеграция, пошла родимая

Just.Doit said 8 hours ago:

 

thousand cursed enemies said 8 hours ago:

Так любой инфостилер работает 

как блять так

 че за общие слова

ты сказал браузер хранит в открытом виде

где инфа как это хранится

как именно инфостиллер работает в плане паролехранилки хрома?

 

Я же тебе кинул линк на hack browser data. Я говорю - Любой инфостилер работает так же как этот. Посмотри сорцы или просто запусти на своем  устройстве. 

Когда я ласт раз смотрел(год назад) из файла Local State(json) забирался os_state.encryptedKey и дальше из sqlite забирались пароли. Как щас мне лень смотреть.

Ну у Эджа базы копируются (когда он запущен). Думаю, у хрома тоже (влом ставить). Так что при запущенном не должно быть проблем базу вычитывать.

храните пароли у товарища майора

и не знайте проблем