Architec.Ton is a ecosystem on the TON chain with non-custodial wallet, swap, apps catalog and launchpad.
Main app: @architec_ton_bot
Our Chat: @architec_ton
EU Channel: @architecton_eu
Twitter: x.com/architec_ton
Support: @architecton_support
Last updated 2 weeks, 2 days ago
Канал для поиска исполнителей для разных задач и организации мини конкурсов
Last updated 1 month ago
Всем киберпривет?!
Сегодня расскажу о новой технологии защиты Cookie - Device Bound Session Credentials (DBSC) Cookie.
*? В чем суть технологии DBSC Cookie?*
В двух словах - эта технология позволяет привязать Cookie пользователя к конкретному устройству. Это достигается за счет генерации уникальной пары открытого/закрытого ключа, которая хранится в TEE (Trusted Execution Environment) на устройстве пользователя. А сама проверка представляет собой обычный Challenge-Response механизм между клиентом и сервером.
Имея публичный ключ клиента, сервер проверяет подпись Response и в случае успеха, авторизует пользователя. Далее, происходит выдача специальной короткоживущей auth_cookie.
*? Зачем нужен DBSC Cookie?*
Кража Cookie пользователя несет большие риски, ввиду очевидного влияния - получение доступа к УЗ жертвы. Существуют различные стиллеры, которые, будучи запущенными на устройстве жертвы, осуществляют кражу Cookie. Кроме того, иногда разработчики по ряду причин избегают флага httpOnly, который позволяет предотвратить получение Cookie через JavaScript (читай XSS). Осуществление привязки Cookie к устройству пользователя делает бесполезным кражу сессионной Cookie (если она привязана к auth_cookie) и помогает снизить импакт при краже стилером (остается окно равное времени жизни auth_cookie)
P.S.
1. Из текущего описания не до конца понятно: а что делать с "окном"?
2. Пока не понятно, как будет осуществляться кросс-браузерная поддержка. Или это останется инициативой на уровне Chromium.
3. Нужны доработки на сервере.
4. Что делать в случае, если мы не храним состояние на сервере? (используем токены и тд)
Hack IT Easy - Explore. Discover. Hack.
Всем киберпривет!?
Сегодняшний пост будет скорее про awareness.
Провел небольшой опрос среди знакомых и коллег и знаете что оказалось? Более 80% респондентов не используют локальный пароль в телеграм. Вы не ослышались! Я говорю именно про локальный пароль, а не облачный!
Почему нам это нужно? Очень просто. В случае, если злоумышленник получит доступ к вашему хосту, он сможет получить доступ к вашей сессии в телеграм. Страшно? Пожалуй. Самые осведомленные скажут: "Это легко отследить, так как в телеграм можно посмотреть все сессии и устройства". А вот и нет. В данном случае, злоумышленник будет оставаться абсолютно "невидимым" для жертвы.
Если что, я это не сам придумал. Моя хорошая знакомая делала про это целое исследование.
Мое личное мнение: лучше не лениться лишний раз вводить пароль (прикладывать палец), чем столкнуться с утечкой важных данных из переписок. Готов поспорить, они у вас там есть ?
Hack IT Easy - Explore. Discover. Hack.
Telegram
README
На самом деле, ничего технически сложного здесь нет. Наоборот, хотелось еще раз подчеркнуть насколько это легко и насколько часто все изложенное фигурирует в публичном пространстве, но как будто бы по-прежнему недооценивается #present
Дорогие друзья, всем большой киберпривет!?
Многие из Вас задавали себе (и иногда мне?) один резонный вопрос: что будет дальше с каналом?
Разумеется, мыслей о его удалении не было, но я почувствовал, что нам необходим новый импульс и новый виток развития.
Проанализировав два предыдущих года ведения канала, мне удалось выделить то, что было максимально полезно по откликам, которые я получал:
- авторские обзоры уязвимостей;
- разборы статей и новостей в мире ИБ;
- разборы решений уязвимых виртуальных машин (в том числе и в онлайне).
Более того, из предыдущего опыта я сделал вывод, что хочу больше взаимодействовать с вами: делиться опытом, практическими кейсами, нестандартными ситуациями. Уверен, это очень полезно!
Меня охватывает ностальгия, когда вспоминаю, как зарождался данный канал, на какие периоды жизни выпало начало этой истории...) В то же время - мы готовы к переменам. Прощай "Road to OSCP" - Welcome "Hack IT Easy"!
Architec.Ton is a ecosystem on the TON chain with non-custodial wallet, swap, apps catalog and launchpad.
Main app: @architec_ton_bot
Our Chat: @architec_ton
EU Channel: @architecton_eu
Twitter: x.com/architec_ton
Support: @architecton_support
Last updated 2 weeks, 2 days ago
Канал для поиска исполнителей для разных задач и организации мини конкурсов
Last updated 1 month ago