Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Proton Authenticator выявлено оседание секретных ключей в отладочном логе"	+/–
Сообщение от opennews (??), 05-Авг-25, 19:02
В представленном на прошлой неделе приложении Proton Authenticator, применяемом для аутентификации при помощи одноразовых паролей, выявлена проблем с конфиденциальностью - в сборках для мобильной платформы iOS забыли отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи для генерации одноразовых паролей. Подобный лог сводил на нет шифрование ключей и ограничение к ним доступа по PIN-коду или биометрической аутентификации. Проблема устранена в обновлении 1.1.1. В сборках для Android в лог сохранялся только идентификатор ключа, а не сам ключ... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63685
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 05-Авг-25, 19:02	+9 +/–
> отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи А вроде на kotlin, swift и прочих рустах. Казалось бы что может пойти не так? Что еще эксперты от крипто там забыли или забили?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #37, #50

4. Сообщение от жявамэн (ok), 05-Авг-25, 19:05	–5 +/–
луникс-иксперды а как лог, который лежит в песочнице приложения является компрометацией? аппле и так все пароли может украсть если захочет. а другие приложения в песочницу к другому никак зайти не смогут
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

7. Сообщение от Аноним (7), 05-Авг-25, 19:26	–5 +/–
Гугл-аутентификатор-господа снисходительно посмеиваются. Пусть он и не опен-сорс, зато простой как полено и таких детских болезней не имеет. Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #27, #36

9. Сообщение от 12yoexpert (ok), 05-Авг-25, 19:32	+2 +/–
не прокатило ничего, есть ещё почта
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (11), 05-Авг-25, 19:37	+2 +/–
а в обновлении 1.1.2 снова забудут отключить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

11. Сообщение от Аноним (11), 05-Авг-25, 19:58	+4 +/–
отобрали у тебя твой айфон, подключили к компьютеру, приложили твой палец, а не, сейчас так не принято, показали айфону твой фейс, тыкнули что доверять этому компьютеру, и скопировали все логи! профит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #19

13. Сообщение от Аноним (11), 05-Авг-25, 20:02	+3 +/–
> Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле? они еще не посмотрели как в этом приложении синхронизация работает! наверняка и там что-то напутали, на дев-сервер в АНБ данные отправляются
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

14. Сообщение от User (??), 05-Авг-25, 20:10	+2 +/–
... но стоило мне ОДИН РАЗ...(С)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

15. Сообщение от Tron is Whistling (?), 05-Авг-25, 20:40	+1 +/–
"Забыли", ага. И платформа как раз правильная для "забывания". Яббл - пока единственный, кто не сдал шифрование.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

16. Сообщение от Tron is Whistling (?), 05-Авг-25, 20:44	+3 +/–
А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #18

17. Сообщение от Аноним (-), 05-Авг-25, 22:03	+4 +/–
> А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи > баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут. Хайп на секурити обычно заканчивается как-то так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от Аноним (18), 05-Авг-25, 22:11	–1 +/–
Да на каком старте? Протон уже и так по уши в дерьме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21, #41

19. Сообщение от Минона (ok), 05-Авг-25, 22:15	+4 +/–
Теперь даже паяльник не требуется?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #26

21. Сообщение от Аноним (21), 05-Авг-25, 22:20	+1 +/–
А чего ж его блочат у нас ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22, #29, #30

22. Сообщение от 12yoexpert (ok), 05-Авг-25, 22:37	+1 +/–
у нас ничего не блочат
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #52

23. Сообщение от Аноним (23), 06-Авг-25, 00:12	+2 +/–
Срез всей айти отрасти 21го века и опенсорса впридачу - в одной новости :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

25. Сообщение от blkkid (?), 06-Авг-25, 05:13	+/–
к сожалению, от тупости никакой язык никогда не спасёт честно говоря, мне приложение показалось вообще навайбкоденным и внаглую скопированным с ente auth, который тоже облачный кодогенератор с E2EE, только от другой компании (и достаточно долго уже существует)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

26. Сообщение от нах. (?), 06-Авг-25, 07:31	+1 +/–
Просто теперь надо его в ж0пу совать а не в ноздрю - личико пригодится ипхон отпереть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #44

27. Сообщение от нах. (?), 06-Авг-25, 07:38	+2 +/–
> Как можно было настолько ошибиться в приложении уровня хелло-ворлд А где тут - ошибка? Это ж системная функция. Модные-современные-вейп-кодерки не представляют себе написания программы без логгинга каждого пука. Еще и ужасно огорчаются когда им сообщают что хранилка не резиновая. Вот почему эти логи еще не отправлялись в пару "надежных" еластиков где-то в Парагвае - этого вот я не могу понять. Может в релизной сборке забыли включить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #42, #43

28. Сообщение от нах. (?), 06-Авг-25, 07:40	+/–
бритву хэнлона не проходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

29. Сообщение от нах. (?), 06-Авг-25, 07:46	–1 +/–
ну может он товарищмаёру отказал в любви (хотел за деньги, а майор же денег не берет)? А с господином штурмбаннфюрером вот - поделился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от User (??), 06-Авг-25, 07:47	+1 +/–
Это не у нас, это у них оборудование деградировало! Читайте официальный канал РКН в мессенджере MAX - только там проверенная информация!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #39

31. Сообщение от нах. (?), 06-Авг-25, 07:47	+/–
Но, обратите внимание - тысячегласс не спит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #32

32. Сообщение от ryoken (ok), 06-Авг-25, 07:51	+/–
>>тысячегласс ..ээ.. хмм... Гекатонхейр..? (или как там это древнегреческое чудище звали-то...)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #33

33. Сообщение от User (??), 06-Авг-25, 07:56	+1 +/–
> ..ээ.. хмм... Гекатонхейр..? (или как там это древнегреческое чудище звали-то...) Но-но! Эти вот - сторукими были (Откуда руки росли - мифы умалчивают, так что скорее всего тоже годится), а тысячагласс был великан Аргус (Спойлер - кончил плохо, тысячуглассоф приватизировала корпоратка-Гера, так что тоже - тора-диция!).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #35, #49

34. Сообщение от Имя (?), 06-Авг-25, 08:01	+/–
fix: improve log messages
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от ryoken (ok), 06-Авг-25, 08:04	+/–
> Но-но! Эти вот - сторукими были (Откуда руки росли - мифы умалчивают, > так что скорее всего тоже годится), а тысячагласс был великан Аргус > (Спойлер - кончил плохо, тысячуглассоф приватизировала корпоратка-Гера, так что тоже - > тора-диция!). Прошу прощения, мифы читал в школе, память имеет ненужное свойство деградировать с возрастом. Перепутал-с... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от Онаним443 (?), 06-Авг-25, 09:06	+/–
Гугл аутентикатор еще и с гуглом синхронизирует все ключи по дефолту, угнвли гугл акк и все ключики тоже, безопасно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

37. Сообщение от Жироватт (ok), 06-Авг-25, 09:19	+/–
Никогда такого не было - и вот опять: очередная серебряная пуля, "баззворд пятилетки" не спасает от таких вот примитивных факапов Нужен срочно язык, который надо назвать CORROSION. Его фичей будет ультимативная безомасность логов и отладки: сам код будет скомпилирован для архитектуры БЭСМ-6, который будет выполняться в специальной виртуалке, которая запускается из специализированного БИЗАПАСНОГО окружения (расшифровываемого лоадером на лету при запуске и необходимости считать блок, каждый блок байт из этого окружения будет шифроваться ключом, хранящемся в предыдущем блоке, гарантированно уникальным). Это окружение будет давать доступ к логам только если программист вставил свою смарт-карту, прошел биометрию и еще одни фактор со звонком нейросети на телефон, смог ответить на 18 вопросов о себе и станцевал на камеру чечётку и ламбаду. Ух, ЗАЖИВЁМ!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

38. Сообщение от Жироватт (ok), 06-Авг-25, 09:21	+/–
Да, Олаф, ту попойку теперь уже никто не забудет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

39. Сообщение от Жироватт (ok), 06-Авг-25, 09:24	–5 +/–
Как показало время, года с ~2014го - уж лучше РКН в МАХ, чем набросы от очередной дочери офицера на анонимной помойке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40, #45

40. Сообщение от Tron is Whistling (?), 06-Авг-25, 09:33	+/–
То, что вы написали - оно даже не в списке "обходить стороной". Оно в "deny under any circumstances".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Tron is Whistling (?), 06-Авг-25, 09:34	+/–
> Да на каком старте? Протон уже и так по уши в дерьме. Не, ну вы не путайте VPN c яичницей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #53

42. Сообщение от Tron is Whistling (?), 06-Авг-25, 09:35	+/–
> Модные-современные-вейп-кодерки не представляют себе написания программы без логгинга каждого пука. > Еще и ужасно огорчаются когда им сообщают что хранилка не резиновая. Не в бровь, а в шоколадный толерантный глаз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

43. Сообщение от Tron is Whistling (?), 06-Авг-25, 09:37	+1 +/–
И потом "ничо, мы ща data lake на s3 от [провайдера вписать] построим, место будем ж**й есть". Им говоришь - "вы рехнулись?" И через полгода такой приходит финансист грит "робята, вы чо, ох***, мы за этот месяц ох***ард заплатили за вот этот сторейж сервис или как оно у вас", а ты ему так пальчиком на отдел девляпсов показываешь, говоришь, это, может авгиевы конюшни уже сейчас расчистить, а то мы их как-то любим слишком...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

44. Сообщение от Минона (ok), 06-Авг-25, 09:58	+/–
> Просто теперь надо его в ж0пу совать а не в ноздрю - А шо, так можно было?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

45. Сообщение от User (??), 06-Авг-25, 10:23	+1 +/–
Ну как по мне, так "и раввин, и капуцин одинаково воняют" - да и вообще, дихотомия очевидно ложная - но вы, разумеется, вольны верить в "дергадацию детей защитой оборудования", "хитрые планы" и вот это вот всё - кто ж вам запретит-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

49. Сообщение от нах. (?), 06-Авг-25, 17:38	+/–
"этих" - в отдел девопс!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

50. Сообщение от penetrator (?), 06-Авг-25, 19:28	+1 +/–
котлин ущербный, хуже свифта даже, лучше уж чистая Java
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

51. Сообщение от Yessir (?), 07-Авг-25, 01:30	+/–
Когда будет нужно, включат. Разработчика отпускать не хотели просто, теперь отпустят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

52. Сообщение от Аноним (52), 07-Авг-25, 13:46	+/–
В России блочат только в путь, уже даже ограничивают скорость за пределами чебурнета у некоторых провайдеров. Это можно было увидеть по speedtest, до того как его тоже заблокировали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #55

53. Сообщение от Аноним (53), 07-Авг-25, 14:40	+/–
Я не про VPN, а про компанию вообще. Которая якобы за «сеьюрность».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #54

54. Сообщение от Tron is Whistling (?), 07-Авг-25, 22:24	+/–
Секурность и third-party VPN, вы серьёзно? Оно по определению заранее untrusted, поэтому что там забыли - как-то фиолетово.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

55. Сообщение от Ogent (?), 08-Авг-25, 08:24	+/–
https://fiber.google.com/speedtest/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема