Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

 

 

 

 

Παιδιά υπάρχει ένα feature που λέγεται auto type... το οποίο μπορείς να το προγραμματίσεις όχι απλά με πατήματα κουμπιών αλλά και με μερικές "functions" (π.χ. wait -- βασικό όταν θες να κάνεις login σε terminal και μετά το username πρέπει να περιμένεις λίγο να εμφανιστεί το prompt για το password) και επιπλέον μπορείς να το κάνεις αυτό με το ίδιο login διαφορετικά για κάθε πρόγραμμα (φιλτράρεις μέσω του window title).

 

Εγώ απλά πατάω CTRL + ALT + A και γίνομαι login αμέσως όχι μόνο σε websites αλλά και σε οποιαδήποτε άλλη εφαρμογή μπορεί να θέλω. Για παράδειγμα όταν χρειάζεται να φορτώσω certificate στον agent για να μπορώ μετά να κάνω πράγματα over ssh χωρίς χειροκίνητο authentication (ας πούμε όταν κάνω commits στο github) απλά πατάω το shortcut, το keepass βρίσκει τόσες ενεργές καταχωρήσεις όσα certificates έχω και μου βγάζει παράθυρο που λέει "διάλεξε ποιά εννοείς". Κλικάρω την αντίστοιχη και κάνει αμέσως auto type το private key του certificate στον agent. 1 keycombo + 1 click = done.

 

nxVJIFX.png

 

Εσείς είστε ήρωες μου φαίνεται! :P :P

 

 

  • Like 2
Δημοσ.

Απορίες

 

1) Τους κωδικούς από μία υπηρεσία μπορεσαν να τους πάρουν μόνο αν συνδέθηκε κάποιος χρήστης τότε; Δηλαδη αν πχ στην Χ υπηρεσία εχω να μπω ενα μήνα, και ξαναμπήκα αφού το φτιάξανε ειμαι safe;

2) Αν συνδέεσαι απο cookie σε καποια υπηρεσία πάλι μπορούν να πάρουν τον κωδικό με το heartbleed bug;

  • Moderators
Δημοσ.

Απορίες

1) Τους κωδικούς από μία υπηρεσία μπορεσαν να τους πάρουν μόνο αν συνδέθηκε κάποιος χρήστης τότε; Δηλαδη αν πχ στην Χ υπηρεσία εχω να μπω ενα μήνα, και ξαναμπήκα αφού το φτιάξανε ειμαι safe;

Μονο εαν συνδεθηκε ο χρηστης και αρα τα περιεχομενα που εστειλε στο site (username/pass) ειναι στη μνημη του server. Εαν εχεις να μπεις ενα μηνα δεν εισαι απαραιτητα ασφαλης, καθως μιλαμε για bug 2 περιπου ετων. Αρα για να θεωρησε 100% ασφαλης, θα πρεπει να μην εχεις συνδεθει στο εν λογω site απο το 2012 περιπου.

 

2) Αν συνδέεσαι απο cookie σε καποια υπηρεσία πάλι μπορούν να πάρουν τον κωδικό με το heartbleed bug;

Εαν το cookie περναει απο https, ειναι εφικτο.

 

PoC οτι 64kb RAM ειναι αρκετα

The Heartbleed Challenge: Can you steal the keys from this server?

Yes i can

 

 

Search for processes still using old OpenSSL heartbleed:

grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u
  • Like 1
  • Moderators
Δημοσ.

Το LastPass μου έστειλε mail σήμερα. Σε ένα tl;dr version λέει αυτό :

 

"In short, we want you to know that LastPass is safe from Heartbleed. For more details on the bug, please see our blog post."

Post #41 ;)

  • Like 1
Δημοσ.

 

 

 

Παιδιά υπάρχει ένα feature που λέγεται auto type... το οποίο μπορείς να το προγραμματίσεις όχι απλά με πατήματα κουμπιών αλλά και με μερικές "functions" (π.χ. wait -- βασικό όταν θες να κάνεις login σε terminal και μετά το username πρέπει να περιμένεις λίγο να εμφανιστεί το prompt για το password) και επιπλέον μπορείς να το κάνεις αυτό με το ίδιο login διαφορετικά για κάθε πρόγραμμα (φιλτράρεις μέσω του window title).

 

Εγώ απλά πατάω CTRL + ALT + A και γίνομαι login αμέσως όχι μόνο σε websites αλλά και σε οποιαδήποτε άλλη εφαρμογή μπορεί να θέλω. Για παράδειγμα όταν χρειάζεται να φορτώσω certificate στον agent για να μπορώ μετά να κάνω πράγματα over ssh χωρίς χειροκίνητο authentication (ας πούμε όταν κάνω commits στο github) απλά πατάω το shortcut, το keepass βρίσκει τόσες ενεργές καταχωρήσεις όσα certificates έχω και μου βγάζει παράθυρο που λέει "διάλεξε ποιά εννοείς". Κλικάρω την αντίστοιχη και κάνει αμέσως auto type το private key του certificate στον agent. 1 keycombo + 1 click = done.

 

nxVJIFX.png

 

Εσείς είστε ήρωες μου φαίνεται! :P :P

 

 

 

 Στο desktop ειναι ευκολα αυτα, στο κινητο και στο tablet ομως;;;

Εκει ειναι το μεγαλυτερο προτερημα που εχει το lastpass και ο βασικος λογος που χρησιμοποιουμε και το sync feature.

Γιατι συνηθως για desktop δεν χρειαζομαι sync, γιατι εχω εναν βασικο υπολογιστη ή οι εναλλαγες δεν ειναι συχνες.

 

(και εγω keepass χρησιμοποιω)

  • 1 μήνα μετά...
  • Moderators
Δημοσ.

Επομενη ευπαθεια:

How I discovered CCS Injection Vulnerability (CVE-2014-0224)

"16 year old vulnerability found in every version of OpenSSL that can be used to eavesdrop"

 

Quote απο τον ανθρωπο που την ανακαλυψε:

"The biggest reason why the bug hasn’t been found for over 16 years is that code reviews were insufficient, especially from experts who had experiences with TLS/SSL implementation."

  • 4 μήνες μετά...
  • Moderators
Δημοσ.

Νεος γυρος:

This POODLE Bites: Exploiting The SSL 3.0 Fallback

 

Και λιγα λεπτα μετα, απο την Cloudflare:

SSLv3 Support Disabled By Default Due to POODLE Vulnerability


Το blog post του Google, το οποιο ειναι υπευθυνο και για την παραπανω ανακαλυψη.

Οπου μεταξυ αλλων:

In the coming months, we hope to remove support for SSL 3.0 completely from our client products

 

Test your browser's SSLv3 support

 

Chrome, Safari και Opera υποστηριζουν σε OSX.

Firefox δεν υποστηριζει (..και καλα κανει)

  • Moderators
Δημοσ.

Firefox δεν υποστηριζει (..και καλα κανει)

 

Σε δικό τους πάντως security blog post αναφέρουν ότι η (by default) υποστήριξη φεύγει με την επόμενη stable έκδοση (34), και για όσους βιάζονται προτείνουν ένα προσωρινό addon.

 

SSLv3 will be disabled by default in Firefox 34, which will be released on Nov 25. The code to disable it is landing today in Nightly, and will be promoted to Aurora and Beta in the next few weeks. This timing is intended to allow website operators some time to upgrade any servers that still rely on SSLv3.

As an additional precaution, Firefox 35 will support a generic TLS downgrade protection mechanism known as SCSV. If this is supported by the server, it prevents attacks that rely on insecure fallback.

 

 

....

 

For users who don’t want to wait till November 25th (when SSLv3 is disabled by default in Firefox 34), we have created the SSL Version Control Firefox extension to disable SSLv3 immediately.

https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Δημιουργία νέου...