Daha fazla
- Cinsiyet
- Erkek
- Meslek
- Network/IT Security & Threat Specialist
Komik bir yorum olmuş, keza KDF + Salt metodu hakkında da zerre bilginiz olmadığını kanıtlamış oldunuz, teşekkür ederim. Zihinde tutmayı tüm şifreyi zihinde tutmayı sanıyorsanız, sektördeki bilginiz birkaç saatten fazla olamaz. Henüz KDF+Salt metodu hakkında bilginiz olmadan şifre yöneticileri hakkında fikir beyan ediyorsunuzZihninde tutmak diye bir olay yok bunu unut en baştan. AHMET123 koymuyorsan bütün şifrelerini, öyle akılda tutmak falan hikaye. KiRlr4@swbq$&O*pt@6^ bak sana şimdi rastgele oluşturulmuş 20 karakterli bir şifre yazdım. Bu tarz bir şifreden kaç tane aklında tutabilirsin? Benim 100 farklı sitede şifrelerim var hepsi rastgele oluşturulmuş. 2025 yılında her siteye aynı şifreyi koymuyorsan akılda tutma işi komik duruyor. Uçtan uca şifrelemenin mantığını, nasıl çalıştığını bilmiyorsun ve ondan dolayı böyle konuşuyorsun. Bitwarden açık kaynaklı bir uygulama. Dünyanın 4 bir yanından kriptografi uzmanları kaynak kodlarını inceliyor. Veri tabanı hacklenemez mi? Elbette hacklenme ihtimali her zaman var. Ama burada devreye uçtan uca şifreleme giriyor işte. Boşuna mı söylüyoruz verilerin cihazından çıkmadan şifreleniyor diye.
Basit: Keepass'in kurulu olduğu cihaz ağa bağlı mı?
Evet ise, her türlü saldırıya açık
Ağa bağlı herhangi bir cihazın her türlü saldırıya karşı her zaman riskli olduğunu bilmiyorsunuz sanırım. Data güvenliği önceliğiniz ise, datayı sakladığınız cihaz ya intranet içinde olacak ya da ağa bağlı olmayacak. Data security alanında özellikle enterprise için çalışan herhangi birisinin basitçe bilebileceği bir gerçek. Siber güvenliği YouTube üstünde öğrenenlerin bilme imkanı yok elbette.Yahu basit bir CVE araştırması bile yapmıyor/yapamıyorsunuz, burada Bitwarden ve genel anlamda şifre yöneticilerini savunuyorsunuz. Komik gerçekten. CVE hakkında bilginiz var mı, ne anlama geldiğini biliyor musunuz bilmiyorum ama, kaynak istediğiniz için bu zafiyetlerden sadece birinin linkini bırakıyorum.
NVD - CVE-2018-25081
nvd.nist.gov
Muhtemelen ne anlama da geldiğini bilmiyorsunuz, basitçe özetleyeyim. Autofill zafiyeti sebebiyle herhangi bir sitede plain text olarak mail, kullanıcı adı ve şifreyi dolduruyor.
Bakın siz şu Bitwarden'a yahu. Halbuki açık kaynaklıydı, zibilyon tane şifrelemesi vardı. Hiçbir şekilde sızdırılmazdı. Zihinde tutmaktan daha güvenliydi.
Demek ki şifrenin kırılmasına gerek yokmuş değil mi? Basit bir IFRAME zafiyeti ile domain bazlı şifre plain text olarak zahmetsizce yakalanabiliyormuş, anladınız mı?
Mutlaka araştırma yapmışsınızdır. Ona lafım yok. Deneyiminiz olduğunu siz de beyan etmiyorsunuz zaten. Sözümün arkasındayım, sektörde sıfır deneyiminiz, tonla araştırmanız var. Araştırmayla olsaydı bu iş, mezun olan her mühendis senior olarak başlardı
Bunlara yanıt vermeye gerek görmüyorum, üstte yazdıklarım gayet yeterli. Sektördeki tonla araştırmanızı bir gün deneyim ile desteklediğiniz vakit söylediklerinizi ciddiye alabilirim. Sevgiler.Siz aynı şeyleri tekrar edip duruyorsunuz. 2FA masal, bulut depolama yalan falan filan. Yaşım kadar sektörde olsaydınız bu konuları çok iyi bilirdiniz.
@wraxos woo Kendisi zihinde tutmayı destekliyor.
CVE kayıtları sizin için bir sorun ifade etmiyor olabilir, ama sektörde 1 gün dahi deneyimi olan herkes için CVE kayıtları kanıtlanmış zafiyet statüsündedir. Bilmiyor olabilirsiniz, söyleyeyim dedimYahu yaşım kadar sektörde olan birisi zaten bu cümleleri kurmaz. Bu sektördeyse gitsin kaynak kodları açık incelesin kendisi rahatlıkla görebilir. Dünyanın dört bir yanından kriptografi uzmanları inceliyor bir sorun görmüyor ama arkadaş görmüş.
Harika bir yorum. Keza 600 bin hashlemenin hiçbir anlam ifade etmediğini kendiniz kanıtladınız. Çok basit bir IFRAME zafiyeti ile, o 600 bin devasa hashleme için en ufak denemeye bile gerek kalmadı.Şifre yöneticilerinin yüz karası bir uygulama var adı Lastpass. Kendisi 2 veya 3 defa veri ihlaline uğradı kullanıcı kasaları sızdırıldı AMA bu kasalar şifreli olduğu için hackleyen kişiler bu kasalara erişemedi. Üstelik yanlış hatırlamıyorsam 10 bin kez hashleme standarttı o zamanlar. Şimdi Bitwarden varsayılan 600 bin hashleme yapıyor. İstersen bunu 1 milyona da çekebiliyorsun ayarlardan. Hatta daha güvenli olanı Argon2ID kullanabiliyorsun. Bugün hala daha Lastpass kullanıcılarının çoğunun kasaları çözülebilmiş değil.Bu işler o kadar kolay değil çünkü.
Siber güvenliğe tek düze bakıyorsunuz, yeni başlayanların en büyük hatası. Bir sistemin güvenliği ve zafiyet analizi tek bir noktadan yapılmaz. 10 milyon hashleme olan bir şifre yöneticisi geliştirelim birlikte, end to end encrypt olsun, 2FA olsun, military grade şifreleme olsun. IFRAME zafiyeti gibi domain specific basit bir zafiyet ile o 10 milyon hashlemenin hiçbir anlamı kalmıyor böylece.
Siber güvenlik kariyerinizde başarılar.
Ha bu arada, bahsi geçen zafiyet hala mevcut, sadece workaround yapılmış. Tetiklenmeyi bekliyor.
Autofill From Browser Extensions | Bitwarden
Learn how to autofill logins stored in the Bitwarden password manager from a browser extension.
Poor handling of connection portals in iframes: potential security vulnerability · Issue #5608 · bitwarden/clients
Steps To Reproduce You need to have an connection portal for an external site within an iframe. Here is an example where the current site is YouTube and the external site is Tournesol, a research p...
github.com
"Closed as not planned"
Bak sen şu bitwarden'a, kullanıcıyı bir dava etmediği kalmış.
Hayır hayır, mümkünse local ağda, dış ağdan izole şekilde çalışan bir sunucu best practice olur. Dış ağdan gelebilecek her türlü saldırıya otomatik kapalı konumda olur. Eğer KDF + Salt ile uğraşmayacaksanız en doğru metod bu. Diğeri hesaplamaya giriyor çünkü.
Son düzenleme:
