Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wykradanie haseł z LastPass
LastPass pod ostrzałem: co dopiero jeden z badaczy znalazł lukę w przeglądarkowym pluginie, gdzie wg zwykłej przeglądarki, adres:
- http://avlidienbrunn.se/@twitter.com/@hehe.php
To oczywiście domena avlidienbrunn.se, a wg LastPass-a (jego przeglądarkowego plugina) to twitter.com …
A to tylko zajawka, bo… ciężka artyleria została wytoczona właśnie przez Tavisa:
–ms
Jak świadczy to o kompetencjach badaczy bezpieczeństwa i wartości procesu „bezpiecznego developmentu” w ogólności? Lastpass to nie jest produkt powstały wczoraj, jest na pewno obiektem zainteresowania wielu ludzi a przychodzi taki jeden na pewno kompetetny gość i jest „a bunch of obvious critical problems”. Pozostali ich nie ogłaszali czy nie zauważyli?
BTW polecacie jakiś darmową alternatywę dla lastpassa?
KeePass: http://keepass.info/
Ano. Nawet u nas był swego czasu art o tym: https://sekurak.pl/keepass-system-zarzadzania-haslami/
KeyPass 2
KeePass, w dodatku darmowy a plik trzymasz na swoim dysku
Tavis pracuje w Google od ponad 9 lat i zajmuje się – stricte – wykrywaniem dziur w produktach innych firm.
Przez 9 lat w takiej firmie pracując nad takimi rzeczami nabrał doświadczenia wystarczająco dużego, żeby wychwytywać oczywiste – dla niego – dziury. Ludzi z jego doświadczeniem jest niewielu.
Do tego dorzucę jeszcze formę wykrytej i zgłoszonej przez niego dziury: otóż nie pozwala ona na wykradzenie całej bazy danych, ale – co najwyżej – jednego hasła (na raz) stosując technikę, która już więcej nie zadziała.
Polecam nie panikować.
Na szczęście nikt nie panikuje. We wszystkim są dziury. Ale istotna jest np. kwestia reakcji vendora na dany problem – czy olewka czy sensowne podejście do tego typu problemów w przyszłości.
http://thehackernews.com/2016/07/best-password-manager.html