Komik bir yorum olmuş, keza KDF + Salt metodu hakkında da zerre bilginiz olmadığını kanıtlamış oldunuz, teşekkür ederim. Zihinde tutmayı tüm şifreyi zihinde tutmayı sanıyorsanız, sektördeki bilginiz birkaç saatten fazla olamaz. Henüz KDF+Salt metodu hakkında bilginiz olmadan şifre yöneticileri hakkında fikir beyan ediyorsunuz
Sektör de yaşım kadar tecrübeniz olunca böyle oluyor demek ki. Bitwarden zaten e-posta ile saltlayarak ve 600 bin kez hashleyerek şifreyi saklıyor. Zihninizde tutarken kaç bin kez hashliyorsunuz merak ettim. PBKDF2 mi kullanıyorsunuz Argon2 mi? Basit: Keepass'in kurulu olduğu cihaz ağa bağlı mı?
Evet ise, her türlü saldırıya açık
Yahu basit bir CVE araştırması bile yapmıyor/yapamıyorsunuz, burada Bitwarden ve genel anlamda şifre yöneticilerini savunuyorsunuz. Komik gerçekten. CVE hakkında bilginiz var mı, ne anlama geldiğini biliyor musunuz bilmiyorum ama, kaynak istediğiniz için bu zafiyetlerden sadece birinin linkini bırakıyorum.
NVD - CVE-2018-25081
nvd.nist.gov
Demek ki şifrenin kırılmasına gerek yokmuş değil mi? Basit bir IFRAME zafiyeti ile domain bazlı şifre PLA'in text olarak zahmetsizce yakalanabiliyormuş, anladınız mı?
Mutlaka araştırma yapmışsınızdır. Ona lafım yok. Deneyiminiz olduğunu siz de beyan etmiyorsunuz zaten. Sözümün arkasındayım, sektörde sıfır deneyiminiz, tonla araştırmanız var. Araştırmayla olsaydı bu iş, mezun olan her mühendis senior olarak başlardı
Bunlara yanıt vermeye gerek görmüyorum, üstte yazdıklarım gayet yeterli. Sektördeki tonla araştırmanızı bir gün deneyim ile desteklediğiniz vakit söylediklerinizi ciddiye alabilirim. Sevgiler.
CVE kayıtları sizin için bir sorun ifade etmiyor olabilir, ama sektörde 1 gün dahi deneyimi olan herkes için CVE kayıtları kanıtlanmış zafiyet statüsündedir. Bilmiyor olabilirsiniz, söyleyeyim dedim
Harika bir yorum. Keza 600 bin hashlemenin hiçbir anlam ifade etmediğini kendiniz kanıtladınız. Çok basit bir IFRAME zafiyeti ile, o 600 bin devasa hashleme için en ufak denemeye bile gerek kalmadı.
Siber güvenliğe tek düze bakıyorsunuz, yeni başlayanların en büyük hatası. Bir sistemin güvenliği ve zafiyet analizi tek bir noktadan yapılmaz. 10 milyon hashleme olan bir şifre yöneticisi geliştirelim birlikte, end to end encrypt olsun, 2FA olsun, military grade şifreleme olsun. IFRAME zafiyeti gibi domain specific basit bir zafiyet ile o 10 milyon hashlemenin hiçbir anlamı kalmıyor böylece.
Siber güvenlik kariyerinizde başarılar.
Ha bu arada, bahsi geçen zafiyet hala mevcut, sadece workaround yapılmış. Tetiklenmeyi bekliyor.
Autofill From Browser Extensions | Bitwarden
Learn how to autofill logins stored in the Bitwarden password manager from a browser extension.bitwarden.com
Poor handling of connection portals in iframes: potential security vulnerability · Issue #5608 · bitwarden/clients
Steps To Reproduce You need to have an connection portal for an external site within an iframe. Here is an example where the current site is YouTube and the external site is Tournesol, a research p...github.com
"Closed as not planned"
Bak sen şu Bitwarden'a, kullanıcıyı bir dava etmediği kalmış.
Hayır hayır, mümkünse local ağda, dış ağdan izole şekilde çalışan bir sunucu best practice olur. Dış ağdan gelebilecek her türlü saldırıya otomatik kapalı konumda olur. Eğer KDF + Salt ile uğraşmayacaksanız en doğru metot bu. Diğeri hesaplamaya giriyor çünkü.
Hala hash diyor. Beyefendi, 100 milyon kere de hashleseniz, IFRAME açığı ile plain text olarak şifreleriniz alınabiliyor. Anlamamakta neden ısrar ediyorsunuz? Kanıt istediniz, CVE Kaydı attım. Hala 600 bin hash diyorsunuz. Tuhaf.KDF+Salt metodunu bana mı öğretiyorsunuz.
Kusura bakmayın ama, script kiddie gibi bir yorum bu. Ağa bağlı olup olmaması önemli değildir demek? O zaman tüm enterprise güvenlik çözümleri yanlış, bir siz doğrusunuz. Kritik dataların saklandığı tüm internal serverları açık ağa alabiliriz, public networklerde depolayabiliriz. Tebrikler.Keepass kurulu olduğu cihazın ağa bağlı olup olmaması önemli değildir. Tarayıcı uzantısı olarak kullanmak sadece riski artırır o kadar. Bilgisayar veya telefonda uygulama olarak kullanıyorsanız herhangi bir riski yoktur ancak bilgisayara virüs girene kadar. 20 senedir bilgisayar kullanırım 1 kez bile virüs sokmadım daha. Zaten sisteme virüs girdiyse kafanızda tuttuğunuz şifreyi siz tuşlarken karşıya o şifre gittiği için iki yöntemde boşa düşüyor.
İşte duymak istediğim buydu. "Herkesin antivirüsü kendisi" mantığı. Dediğim gibi, script kiddie seviyesinde bir yorum.
Atılan makaleleri okudunuz mu? Sorunun otomatik doldurmanın kapatılarak çözüldüğünü mü sanıyorsunuz? Tarayıcı içerisine kurulu bir eklentinin config dosyasının değiştirilmesinin ne kadar kolay olduğundan haberiniz var mı? Muhtemelen yok.
Ohoo, siz konuyu en başından anlamamışsınız.Sizin deneyiminiz de yok bilginiz de. İnternetten bulduğunuz argümanlarla bana geliyorsunuz. Tekrar söylüyorum. Eğer bir site de zaafiyet varsa bunun otomatik doldurmayla vs ilgisi olmaz. Bir oltalama saldırısına bakar iş. Hesabının şifresi değişti sen yapmadıysan tıkla yazar bir tıklarsın kullanıcı adı ve şifreni girdiğin an hesap zaten gider. İstersen zihninde tut istersen şifre yöneticisi kullan. Şifre yöneticisi kullanırsan çok daha güvende oluyorsun. Geçiş anahtarları sahte siteleri doldurmuyor. Sektörde o kadar deneyimlisin biliyorsundur ne olduğunu.
Gördünüz mü, gerektiğinde veriler de sızdırılabiliyormuş.
www.kb.cert.org
Konunun geçiş anahtarıyla bir ilgisi yok
Alakasız örnekler verdiğiniz ve cümleleri doldurmaya çalıştığınız zaman birşey ispatlamıyorsunuz. İspat, resmi belgeler ve dökümanlar sunarak olur. Tweet paylaşarak değil.Hahaha, konuşmaya gerek var mı? CVE DB, siber güvenliğin kalbidir. Bunu inkar ediyorsunuz bir kere. Komik cidden. Sizin o yok dediğiniz açıkların hepsinin ispatıdır CVE. Bunu tüm siber güvenlik sektörü mensupları kullanır, bilir, kabul eder. Bir siz etmiyorsunuz, keza sektörden değilsiniz.
Bakın işte, anlamıyorsunuz çünkü bilginiz yok. Zihinde tutmayı tüm şifreleri zihinde tutmak olarak algılıyorsunuz. İlk mesaja PBKDF2 veya Argon2 yazdığınız zaman o konuda bilgi sahibi olmuş olmuyorsunuz, Googlelamış oluyorsunuz
Size daha ne söyleyeyim bilmiyorum, base key, salt + KDF diyorum, siz zihinde tutmak diyorsunuz. Zihinde tutacağınız şey 1 adet keyword, 1 kelime. Çok lazımsa gidin plain text intranet servera koyun. Zaten KDF+Salt kombinasyonu o serverda çalışacak. Bunu bilmiyorsunuz, ama aksini iddia ediyorsunuz hala. Komik.Kasaların şifresiz saklandığını söylediğim mesajı gösterin, göstermediğiniz taktirde iftira attığınızın kanıtıdır bu.
Söylediğiniz tüm bu ikinci çözümler, binlerce farklı CVE zafiyetiyle çoktan bypass edildi bile. Günaydınlar efendim.
Rica ediyorum, söylediklerimin aksini ispatlayın. Bakın ben ispatlayabiliyorum, CVE dökümanları paylaşıyorum. Tweet paylaşmıyorum, direkt resmi döküman paylaşıyorum. Siz ne paylaşabiliyorsunuz tweet harici?
Hala hash diyor. Beyefendi, 100 milyon kere de hashleseniz, ıframe açığı ile PLA'in text olarak şifreleriniz alınabiliyor. Anlamamakta neden ısrar ediyorsunuz? Kanıt istediniz, cve kaydı attım. Hala 600 bin hash diyorsunuz. Tuhaf.
Kusura bakmayın ama, script kiddie gibi bir yorum bu. Ağa bağlı olup olmaması önemli değildir demek? O zaman tüm Enterprise güvenlik çözümleri yanlış, bir siz doğrusunuz. Kritik dataların saklandığı tüm internal serverları açık ağa alabiliriz, public networklerde depolayabiliriz. Tebrikler.
İşte duymak istediğim buydu. "herkesin antivirüsü kendisi" mantığı. Dediğim gibi, script kiddie seviyesinde bir yorum.
Atılan makaleleri okudunuz mu? Sorunun otomatik doldurmanın kapatılarak çözüldüğünü mü sanıyorsunuz? Tarayıcı içerisine kurulu bir eklentinin Config dosyasının değiştirilmesinin ne kadar kolay olduğundan haberiniz var mı? Muhtemelen yok.
Ohoo, siz konuyu en başından anlamamışsınız.
Öncelikle;
1- internetten bulduğum argüman, siber güvenlik sektörünün en kesin ve net kaynağı cve veri tabanı. Bunu inkar ediyorsanız bu kategoride yaptığınız yorumları dikkate almaya gerek yok zaten. Keza bana saçma sapan bir tweet paylaşan sizsiniz. Ben miyim internetten bulduğum argümanlarla gelen?
2- zafiyetin siteyle ilgisi yok. Zafiyet Bitwarden'ın kendisinde ve hala fixlenmedi. Workaround yapıldı, üstü kapatıldı. Oltalama saldırısının ise konuyla hiçbir ilgisi yok. Siz bu "hacker Team" forumlarında çok takılıyorsunuz sanırım, çünkü verdiğiniz terimler ve örnekler konuyla ilgisiz, alakasız. Tamamen cümle doldurmak amacıyla yazılmış.
3- şifre yöneticisi kullanırsanız güvende falan olmuyorsunuz, bir sonraki büyük veri sızıntısına kadar şifrelerinizi o sisteme emanet etmiş oluyorsunuz. Hatta buyurun, birisi lastpass ile ilgili bir şey söylemişti:
Gördünüz mü, gerektiğinde veriler de sızdırılabiliyormuş.
Gelelim şifre yöneticisi kullanırsanız güvende olursunuz saçmalığına:
Buna yorumunuz nedir? Yine 600 bin hash mi?CERT/CC Vulnerability Note VU#516608
Multiple Password Managers Vulnerable to Clickjacking Attacks
Memory leak vakalarına değinmiyorum bile, tonlarcası var tonlarcası.
Konunun geçiş anahtarıyla bir ilgisi yok
Hahaha, konuşmaya gerek var mı? Cve dB, siber güvenliğin kalbidir. Bunu inkar ediyorsunuz bir kere. Komik cidden. Sizin o yok dediğiniz açıkların hepsinin ispatıdır cve. Bunu tüm siber güvenlik sektörü mensupları kullanır, bilir, kabul eder. Bir siz etmiyorsunuz, keza sektörden değilsiniz.
Bakın işte, anlamıyorsunuz çünkü bilginiz yok. Zihinde tutmayı tüm şifreleri zihinde tutmak olarak algılıyorsunuz. İlk mesaja pbkdf2 veya argon2 yazdığınız zaman o konuda bilgi sahibi olmuş olmuyorsunuz, googlelamış oluyorsunuz
Kasaların şifresiz saklandığını söylediğim mesajı gösterin, göstermediğiniz taktirde iftira attığınızın kanıtıdır bu.
Kasaların 100 milyon hashleme de yapılsa basit bir ıframe ile PLA'in text olarak veri sızdırılabileceğini söylemek, kasaların şifresiz olduğunu mu söylemek? Komedi tufanı yahu.
Söylediğiniz tüm bu ikinci çözümler, binlerce farklı cve zafiyetiyle çoktan bypass edildi bile. Günaydınlar efendim.
Rica ediyorum, söylediklerimin aksini ispatlayın. Bakın ben ispatlayabiliyorum, cve dokümanları paylaşıyorum. Tweet paylaşmıyorum, direkt resmi doküman paylaşıyorum. Siz ne paylaşabiliyorsunuz tweet harici?
Üzgünüm, en başından "evet, dediğiniz doğru olabilir fakat ben yine de şifre yöneticilerini şu şu sebeplerle tercih ediyorum" deseydiniz, fikrinize saygı duyup şifre yöneticilerinin hangi durumlarda avantajlı olabileceğini konuşabilirdik. Siz ise, dünyada hiçbir ınfosec uzmanının reddetmediği kaynakları "safsata" gibi sınıflandırıyorsunuz.
İyi akşamlar dilerim.
VPS'iniz eğer ki local ağda bir subnet oluşturup, intranete çevirebilirseniz ve VPS'i buraya konumlandırırsanız aşılması çok zor bir katman olmuş olur. Ek olarak, güvenliği maksimum seviyeye çıkarmak için genelde bu subnetler arasında donanımsal firewall kullanımını öneriyorum. Keza kendi ağımda bu şekilde çalışıyor. Böylece bir ağa sızıntı olursa, saldırı gerçekleşirse, diğer ağlar bundan etkilenmiyor. Katman sayısını ne kadar arttırırsanız, veri sızıntısı riski de o kadar düşer.
Estağfurullah, amaç bir taraf haklı diğeri haksız olayı değil, doğru bilgiyi iletmek. Olabilir, karıştırmıştır veya kullandığı servislere güveni tamdır. Ben sektörün gerçeklerini iletiyorum kendisine, elbette inanıp inanmamak ona kalmış.
Benim düşüncem her zaman şu yönde: Kullanılacak online servisin mutlaka hızlı bir destek hattı olması gerekli. Güvenlik beklemez, beklememeli, saniyeler dahi önemli. Bu bağlamda zaten Bitwarden yerine Keeper, Kaspersky gibi firmaları önerdim. Ticket üstünden değil gerekirse enterprise kullanıcılar için canlı destek hatlarına veya daha hızlı iletişim kanallarına sahipler.
