Паша не является идолом правильного питания ни для кого из хабровчан - просто чел с деньгами. По сути, это как если бы я написал статью про свой режим питания - может и можно что-то нарыть, но ценность маленькая.
Ага, всё верно :) Просто народ в ступоре, когда подвисает логин скрин, но если ему написать, что подвисает он не просто так, то всё ок. Смущало ещё, что многие малые и средние бизнесы просили вырубить TLS по умолчанию (раньше можно было и без шифрования), но потом мы задолбались поддерживать две схемы работы и сделали с TLS только. Корпораты ничего не заметили, а средних и малых инженерам поддержки пришлось учить как работать с сертификатами, мда
Всегда пожалуйста! Да, вы правы, подвисание доходили до макс 2 секунд. Но принял решение, и ребята поддержали, что в B2B софте - то не критично. Там просто среди клиентов были крупные банки, которые через соломинку мозг выпивали по поводу безопасности, поэтому лучше пусть немного подвисает) Установили вылетающее сообщение типа "Проверяется доступ", чтобы люди думали, что происходит что-то очень и очень важное 😁
Как раз оригинальная статья на Cybernews обновилась и я обновил эту:
1. Пока говорится о Aras Nazarovas (ресерчер Cybernews), (контрибьютор Cybernews, инфосек. ресерчер, и владелец SecurityDiscovery.com), Vilius Petkauskas (о нём уже писал - редактор Cybernews) 2. Про все сложно сказать, но Bob Diachenko был среди тех, кто отыскал Mother of All Breaches. 3. Как пишут в оригинальной статье - да. Похоже, что этот кто-то допустил мисконфигурацию сервера и так уже эти данные нашли исследователи. 4. Тут не могу сказать - смотря где.
В том софте, что мы с ребятами разработали, что через Web Crypto API мы хешировали пользовательский пароль в браузере PBKDF2-HMAC-SHA512 150к раз с солью 1 (генерит браузер пользователя), потом на сервере ещё раз хешировали PBKDF2-HMAC-SHA512 с солью 2 ещё 150k раз. В итоге получалось 300к итераций, что больше рекомендаций OWASP . Правда я всё равно Argon2 положил в бэклог до лучших времён. А так как получается довольно медленный хеш, то каждый пароль недоброжелатели будут брутить чёрт знает сколько времени.
Уже при проверке пароля, происходило вот такое - взял с другой суоей статьи на Линке (убрал название компании в названии App server)
Это мы с одним крутым парнем подглядели у гугла в какой-то статье
Хех, какой закон нарушает ECH? Оно даже поддерживает конституционную тайну переписки. Хотя вопрос риторический - им законодательно обосновывать давно ничего не надо.
Чтобы не намывать карася понапрасно. Если обнаружите несостыковки и враньё в моей статье - напиши в комментах. Благо я предоставил оригинальные статьи.
Согласен. Пока авторы не предоставят пруфы, то утка инфоповод. Хех, причём умудрились же опубликовать такие громкие заявления без пруфов, должны же были понимать, что поднимется волна скептицизма.
Имхо, сгенерированная и проверенная информация несёт такую же ценность, как и написанная вручную. Я же оставляю вас со своим луддизмом. Можете дальше воевать с ветряными 5G вышками.
Да вряд ли. Форбс, конечно, не ангелы, но и не совсем дураки, чтобы в такое влазить. Посмотрим дальше, что эти "исследователи" раскроют. Смотрю, что текст статьи немного изменяется на сайте оригинального источника Cybernews - может уже наконец пруфы дадут.
Вы хотите - пишите абсолютно без нейросетей в бесконечных Recovery mode. Я же буду оптимизировать свои усилия, представляя всё равно качественный контент.
Часть с ключевыми тезисами была сгенерирована, потому что мой мозг ночью поплыл после чтения изначальных статей и не мог нормально выдать информацию тезисно. Вы их читали? Там куча предложений с минимумом смысла, а тем более конкретики. И если ии помог сократить две статьи "знаменитых изданий" в 5 мелких тезиса, годных для анализа, то это win. Я своё время на более нужную часть для Хабра потратил - на поиск более подробных деталей о сливе.
Тут не совсем так - пароли в plain text могут пересылаться, опираясь на шифрование TLS, но потом на сервере они должны хешироваться. В B2B софте, над которым я работал, мы придумали более надёжную схему - хеширование в браузере с солью 1, пересылка на сервер и хеширование второй раз на сервере с солью 2 (все соли потом хранились в бд), но это уже моя паранойя была, зная, что в корп. среде малых предприятий зачастую забивают на TLS.
Ну Bitwarden open-source - пожалуйста, лезте в сорцы и проверяйте. За вас там уже покопались компании Cure53 и Fracture Labs. А чтение файлов - ну миллионы программ читают файлы, и только малая толика устанавливает хуки или драйвер. Так вот, установка хука или драйвера - это 90% вредоносное действие. А чтение файлов с какой вероятностью может стать вредоносным?
Имхо, тут подмена понятий. Сторонний менеджер паролей все же не допускает ошибок встроенного в браузер - он не хранит нигде ключи шифрования и через х минут блокирует базу, стирая и из РАМ. К тому же, использует для хеширования мастер пароля Argon2, тогда как браузерный менеджер - непонятно что, надо лезть в сорцы. А от кейлоггера должен спасти поведенческий анализатор антивируса - это куда более подозрительное поведение, чем чтение директорий.
Вряд ли что-то изменилось, но, на моей памяти, почти любой задрипанный инфостилег мог найти ключ шифрования паролей браузером, расшифровать и своровать их. Больше вот у этих ребят прочитайте
Паша не является идолом правильного питания ни для кого из хабровчан - просто чел с деньгами. По сути, это как если бы я написал статью про свой режим питания - может и можно что-то нарыть, но ценность маленькая.
Наконец начались статьи о силовых тренировках, когда везде затирают о "24 подхода по 12 раз по 2 кг".
Ага, всё верно :) Просто народ в ступоре, когда подвисает логин скрин, но если ему написать, что подвисает он не просто так, то всё ок. Смущало ещё, что многие малые и средние бизнесы просили вырубить TLS по умолчанию (раньше можно было и без шифрования), но потом мы задолбались поддерживать две схемы работы и сделали с TLS только. Корпораты ничего не заметили, а средних и малых инженерам поддержки пришлось учить как работать с сертификатами, мда
Всегда пожалуйста! Да, вы правы, подвисание доходили до макс 2 секунд. Но принял решение, и ребята поддержали, что в B2B софте - то не критично. Там просто среди клиентов были крупные банки, которые через соломинку мозг выпивали по поводу безопасности, поэтому лучше пусть немного подвисает) Установили вылетающее сообщение типа "Проверяется доступ", чтобы люди думали, что происходит что-то очень и очень важное 😁
Как раз оригинальная статья на Cybernews обновилась и я обновил эту:
1. Пока говорится о Aras Nazarovas (ресерчер Cybernews), (контрибьютор Cybernews, инфосек. ресерчер, и владелец SecurityDiscovery.com), Vilius Petkauskas (о нём уже писал - редактор Cybernews)
2. Про все сложно сказать, но Bob Diachenko был среди тех, кто отыскал Mother of All Breaches.
3. Как пишут в оригинальной статье - да. Похоже, что этот кто-то допустил мисконфигурацию сервера и так уже эти данные нашли исследователи.
4. Тут не могу сказать - смотря где.
В том софте, что мы с ребятами разработали, что через Web Crypto API мы хешировали пользовательский пароль в браузере PBKDF2-HMAC-SHA512 150к раз с солью 1 (генерит браузер пользователя), потом на сервере ещё раз хешировали PBKDF2-HMAC-SHA512 с солью 2 ещё 150k раз. В итоге получалось 300к итераций, что больше рекомендаций OWASP . Правда я всё равно Argon2 положил в бэклог до лучших времён. А так как получается довольно медленный хеш, то каждый пароль недоброжелатели будут брутить чёрт знает сколько времени.
Уже при проверке пароля, происходило вот такое - взял с другой суоей статьи на Линке (убрал название компании в названии App server)
Хех, какой закон нарушает ECH? Оно даже поддерживает конституционную тайну переписки. Хотя вопрос риторический - им законодательно обосновывать давно ничего не надо.
Телегу тоже глянул, но там Паша сотрудничает - решил ему не мешать.
Чтобы не намывать карася понапрасно. Если обнаружите несостыковки и враньё в моей статье - напиши в комментах. Благо я предоставил оригинальные статьи.
Спасибо за голос разума! Все же неолудитты среди нас, и странно, что они из IT. Хотя я уже видел врачей, топивших за гомеопатию :(
Согласен. Пока авторы не предоставят пруфы, то утка инфоповод. Хех, причём умудрились же опубликовать такие громкие заявления без пруфов, должны же были понимать, что поднимется волна скептицизма.
Имхо, сгенерированная и проверенная информация несёт такую же ценность, как и написанная вручную. Я же оставляю вас со своим луддизмом. Можете дальше воевать с ветряными 5G вышками.
Да вряд ли. Форбс, конечно, не ангелы, но и не совсем дураки, чтобы в такое влазить. Посмотрим дальше, что эти "исследователи" раскроют. Смотрю, что текст статьи немного изменяется на сайте оригинального источника Cybernews - может уже наконец пруфы дадут.
Вы хотите - пишите абсолютно без нейросетей в бесконечных Recovery mode. Я же буду оптимизировать свои усилия, представляя всё равно качественный контент.
Часть с ключевыми тезисами была сгенерирована, потому что мой мозг ночью поплыл после чтения изначальных статей и не мог нормально выдать информацию тезисно. Вы их читали? Там куча предложений с минимумом смысла, а тем более конкретики. И если ии помог сократить две статьи "знаменитых изданий" в 5 мелких тезиса, годных для анализа, то это win. Я своё время на более нужную часть для Хабра потратил - на поиск более подробных деталей о сливе.
Тут вы верно подметили, о том же написал в статье, что это очень подозрительно.
Тут не совсем так - пароли в plain text могут пересылаться, опираясь на шифрование TLS, но потом на сервере они должны хешироваться. В B2B софте, над которым я работал, мы придумали более надёжную схему - хеширование в браузере с солью 1, пересылка на сервер и хеширование второй раз на сервере с солью 2 (все соли потом хранились в бд), но это уже моя паранойя была, зная, что в корп. среде малых предприятий зачастую забивают на TLS.
Ну Bitwarden open-source - пожалуйста, лезте в сорцы и проверяйте. За вас там уже покопались компании Cure53 и Fracture Labs. А чтение файлов - ну миллионы программ читают файлы, и только малая толика устанавливает хуки или драйвер. Так вот, установка хука или драйвера - это 90% вредоносное действие. А чтение файлов с какой вероятностью может стать вредоносным?
Имхо, тут подмена понятий. Сторонний менеджер паролей все же не допускает ошибок встроенного в браузер - он не хранит нигде ключи шифрования и через х минут блокирует базу, стирая и из РАМ. К тому же, использует для хеширования мастер пароля Argon2, тогда как браузерный менеджер - непонятно что, надо лезть в сорцы. А от кейлоггера должен спасти поведенческий анализатор антивируса - это куда более подозрительное поведение, чем чтение директорий.
Вряд ли что-то изменилось, но, на моей памяти, почти любой задрипанный инфостилег мог найти ключ шифрования паролей браузером, расшифровать и своровать их. Больше вот у этих ребят прочитайте