defacer Δημοσ. 11 Απριλίου 2014 Δημοσ. 11 Απριλίου 2014 Παιδιά υπάρχει ένα feature που λέγεται auto type... το οποίο μπορείς να το προγραμματίσεις όχι απλά με πατήματα κουμπιών αλλά και με μερικές "functions" (π.χ. wait -- βασικό όταν θες να κάνεις login σε terminal και μετά το username πρέπει να περιμένεις λίγο να εμφανιστεί το prompt για το password) και επιπλέον μπορείς να το κάνεις αυτό με το ίδιο login διαφορετικά για κάθε πρόγραμμα (φιλτράρεις μέσω του window title). Εγώ απλά πατάω CTRL + ALT + A και γίνομαι login αμέσως όχι μόνο σε websites αλλά και σε οποιαδήποτε άλλη εφαρμογή μπορεί να θέλω. Για παράδειγμα όταν χρειάζεται να φορτώσω certificate στον agent για να μπορώ μετά να κάνω πράγματα over ssh χωρίς χειροκίνητο authentication (ας πούμε όταν κάνω commits στο github) απλά πατάω το shortcut, το keepass βρίσκει τόσες ενεργές καταχωρήσεις όσα certificates έχω και μου βγάζει παράθυρο που λέει "διάλεξε ποιά εννοείς". Κλικάρω την αντίστοιχη και κάνει αμέσως auto type το private key του certificate στον agent. 1 keycombo + 1 click = done. Εσείς είστε ήρωες μου φαίνεται! :P 2
mentoras99 Δημοσ. 12 Απριλίου 2014 Δημοσ. 12 Απριλίου 2014 Για κύμα κυβερνοεπιθέσεων προειδοποιούν οι ΗΠΑ λόγω του «Heartbleed» http://news.in.gr/science-technology/article/?aid=1231310747
Moderators Gi0 Δημοσ. 12 Απριλίου 2014 Moderators Δημοσ. 12 Απριλίου 2014 Για κύμα κυβερνοεπιθέσεων προειδοποιούν οι ΗΠΑ λόγω του «Heartbleed» http://news.in.gr/science-technology/article/?aid=1231310747 Ναι, και ο πρωτος που φοβομαστε ειναι οι ΗΠΑ.
bnvdarklord Δημοσ. 12 Απριλίου 2014 Δημοσ. 12 Απριλίου 2014 Απορίες 1) Τους κωδικούς από μία υπηρεσία μπορεσαν να τους πάρουν μόνο αν συνδέθηκε κάποιος χρήστης τότε; Δηλαδη αν πχ στην Χ υπηρεσία εχω να μπω ενα μήνα, και ξαναμπήκα αφού το φτιάξανε ειμαι safe; 2) Αν συνδέεσαι απο cookie σε καποια υπηρεσία πάλι μπορούν να πάρουν τον κωδικό με το heartbleed bug;
Moderators Gi0 Δημοσ. 12 Απριλίου 2014 Moderators Δημοσ. 12 Απριλίου 2014 Απορίες 1) Τους κωδικούς από μία υπηρεσία μπορεσαν να τους πάρουν μόνο αν συνδέθηκε κάποιος χρήστης τότε; Δηλαδη αν πχ στην Χ υπηρεσία εχω να μπω ενα μήνα, και ξαναμπήκα αφού το φτιάξανε ειμαι safe; Μονο εαν συνδεθηκε ο χρηστης και αρα τα περιεχομενα που εστειλε στο site (username/pass) ειναι στη μνημη του server. Εαν εχεις να μπεις ενα μηνα δεν εισαι απαραιτητα ασφαλης, καθως μιλαμε για bug 2 περιπου ετων. Αρα για να θεωρησε 100% ασφαλης, θα πρεπει να μην εχεις συνδεθει στο εν λογω site απο το 2012 περιπου. 2) Αν συνδέεσαι απο cookie σε καποια υπηρεσία πάλι μπορούν να πάρουν τον κωδικό με το heartbleed bug; Εαν το cookie περναει απο https, ειναι εφικτο. PoC οτι 64kb RAM ειναι αρκετα The Heartbleed Challenge: Can you steal the keys from this server? Yes i can Search for processes still using old OpenSSL heartbleed: grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u 1
Xero1991 Δημοσ. 12 Απριλίου 2014 Δημοσ. 12 Απριλίου 2014 Το LastPass μου έστειλε mail σήμερα. Σε ένα tl;dr version λέει αυτό :"In short, we want you to know that LastPass is safe from Heartbleed. For more details on the bug, please see our blog post."
Moderators Gi0 Δημοσ. 12 Απριλίου 2014 Moderators Δημοσ. 12 Απριλίου 2014 Το LastPass μου έστειλε mail σήμερα. Σε ένα tl;dr version λέει αυτό : "In short, we want you to know that LastPass is safe from Heartbleed. For more details on the bug, please see our blog post." Post #41 1
Moderators Gi0 Δημοσ. 13 Απριλίου 2014 Moderators Δημοσ. 13 Απριλίου 2014 Φανταζομαι πως εννοεις xkcd.com (δεν βλεπω τη φωτο), post #43
Moderators Gi0 Δημοσ. 16 Απριλίου 2014 Moderators Δημοσ. 16 Απριλίου 2014 Η πρωτη συλληψη σχετικα με το Ηeartbleed. Eνας 19 χρονος 'hacker' προσπαθησε να εκμεταλλευτει το προβλημα και να κλεψει τα προσωπικα δεδομενα περιπου 900 Καναδων.
haHa Δημοσ. 17 Απριλίου 2014 Δημοσ. 17 Απριλίου 2014 Παιδιά υπάρχει ένα feature που λέγεται auto type... το οποίο μπορείς να το προγραμματίσεις όχι απλά με πατήματα κουμπιών αλλά και με μερικές "functions" (π.χ. wait -- βασικό όταν θες να κάνεις login σε terminal και μετά το username πρέπει να περιμένεις λίγο να εμφανιστεί το prompt για το password) και επιπλέον μπορείς να το κάνεις αυτό με το ίδιο login διαφορετικά για κάθε πρόγραμμα (φιλτράρεις μέσω του window title). Εγώ απλά πατάω CTRL + ALT + A και γίνομαι login αμέσως όχι μόνο σε websites αλλά και σε οποιαδήποτε άλλη εφαρμογή μπορεί να θέλω. Για παράδειγμα όταν χρειάζεται να φορτώσω certificate στον agent για να μπορώ μετά να κάνω πράγματα over ssh χωρίς χειροκίνητο authentication (ας πούμε όταν κάνω commits στο github) απλά πατάω το shortcut, το keepass βρίσκει τόσες ενεργές καταχωρήσεις όσα certificates έχω και μου βγάζει παράθυρο που λέει "διάλεξε ποιά εννοείς". Κλικάρω την αντίστοιχη και κάνει αμέσως auto type το private key του certificate στον agent. 1 keycombo + 1 click = done. Εσείς είστε ήρωες μου φαίνεται! :P Στο desktop ειναι ευκολα αυτα, στο κινητο και στο tablet ομως;;; Εκει ειναι το μεγαλυτερο προτερημα που εχει το lastpass και ο βασικος λογος που χρησιμοποιουμε και το sync feature. Γιατι συνηθως για desktop δεν χρειαζομαι sync, γιατι εχω εναν βασικο υπολογιστη ή οι εναλλαγες δεν ειναι συχνες. (και εγω keepass χρησιμοποιω)
Moderators Gi0 Δημοσ. 5 Ιουνίου 2014 Moderators Δημοσ. 5 Ιουνίου 2014 Επομενη ευπαθεια: How I discovered CCS Injection Vulnerability (CVE-2014-0224) "16 year old vulnerability found in every version of OpenSSL that can be used to eavesdrop" Quote απο τον ανθρωπο που την ανακαλυψε: "The biggest reason why the bug hasn’t been found for over 16 years is that code reviews were insufficient, especially from experts who had experiences with TLS/SSL implementation."
Moderators Gi0 Δημοσ. 15 Οκτωβρίου 2014 Moderators Δημοσ. 15 Οκτωβρίου 2014 Νεος γυρος: This POODLE Bites: Exploiting The SSL 3.0 Fallback Και λιγα λεπτα μετα, απο την Cloudflare: SSLv3 Support Disabled By Default Due to POODLE Vulnerability Το blog post του Google, το οποιο ειναι υπευθυνο και για την παραπανω ανακαλυψη. Οπου μεταξυ αλλων: In the coming months, we hope to remove support for SSL 3.0 completely from our client products Test your browser's SSLv3 support Chrome, Safari και Opera υποστηριζουν σε OSX. Firefox δεν υποστηριζει (..και καλα κανει)
Moderators Praetorian Δημοσ. 15 Οκτωβρίου 2014 Moderators Δημοσ. 15 Οκτωβρίου 2014 Firefox δεν υποστηριζει (..και καλα κανει) Σε δικό τους πάντως security blog post αναφέρουν ότι η (by default) υποστήριξη φεύγει με την επόμενη stable έκδοση (34), και για όσους βιάζονται προτείνουν ένα προσωρινό addon. SSLv3 will be disabled by default in Firefox 34, which will be released on Nov 25. The code to disable it is landing today in Nightly, and will be promoted to Aurora and Beta in the next few weeks. This timing is intended to allow website operators some time to upgrade any servers that still rely on SSLv3. As an additional precaution, Firefox 35 will support a generic TLS downgrade protection mechanism known as SCSV. If this is supported by the server, it prevents attacks that rely on insecure fallback. .... For users who don’t want to wait till November 25th (when SSLv3 is disabled by default in Firefox 34), we have created the SSL Version Control Firefox extension to disable SSLv3 immediately. https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα