Wpis z mikrobloga

Skopiuj link

 Skopiuj link
kolin4
kolin4
  • 160
Treść przeznaczona dla osób powyżej 18 roku życia...
  • 15
  • Odpowiedz

  • Otrzymuj powiadomienia
    o nowych komentarzach
Luffik
Luffik
  • 243
@kolin4: sprawa do ulepszenia przez XTB jest prosta -- sesja logowania nie powinna być zapamiętywana po wyjściu ze strony. Sprawdziłem to przed chwila, mam logowanie 2fa, wchodzę przez przeglądarkę po potwierdzeniu 2fa klikam "jednorazowy dostęp" i zamykam kartę. Jeśli wejdę do panelu znowu to dalej jestem zalogowany -- na platformie inwestycyjnej, prawie że bankowej tak nie powinno być.
  • Odpowiedz
oldspiceedit
  • 6
@kolin4: XTB nie ogarnia zarzadzania sesjami, ich system dziala jak z 2010 roku, wyglada na to ze nigdy nikt nawet tego nie pentestowal i nie maja pojecia o security. Oferuja "jednorazowy dostep" ale mozesz zamknac karte, otworzyc jeszcze raz i jestes zalogowany. Moj blog ma lepiej ogarniety access management niz spolka z miliardowa wycena.
  • Odpowiedz
varchar12
varchar12
  • 5
@kolin4: i metoda 2fa tylko SMS xD ja pierdziu, średniowiecze. To nawet banki spółdzielcze już mają U2F, a największy Polski broker może pomarzyć o takiej technologii.
  • Odpowiedz
widmo82
  • 0
Na jakies z-----e forum loguje sie na wakacjach i dostaje maila ze nastapilo logowanie z innego kraju.


@kolin4: i co z tego jak infolinia działa do 19ej :D
  • Odpowiedz
affairz
  • 0
@kolin4: a jakie konkretnie jest ryzyko jeśli hasło do XTB (unikalnie wygenerowane, bardzo trudne że nie jestem w stanie go spamiętać bo wygenerowała mi je przeglądarka) mam zapisane:
- w przeglądarce
- w apce w telefonie

(mam włączone 2FA)

@Luffik @agent001 @oldspiceedit
  • Odpowiedz
Luffik
Luffik
  • 1
@affairz: wkleje bez rozpisywania się "wykradanie sesji" które jest popularne na FB do wyłudzania "na blika".
"trzymanie sesji sprawia że można ja wykraść, sam kiedyś padłem tego ofiara na FB gdzie miałem 2FA, hasła generowane z menadżera itd.. Ziomeczek był na moim koncie 10min i udało mu się jedna osoba oszukać na blika. XTB działa na tej samej sasadzie co FB."
Nie jestem specem od security ale po tym wydarzeniu
  • Odpowiedz
agent001
agent001
  • 0
@affairz @Luffik: tez nie jestem specem od cyberbezpieczeństwa i też moja wiedza bierze się z tego że padłem ofiarą kradzieży sesji. Z Steama ukradziono mi 70 pln (robiac analogicznie to samo co temu chłopakowi na XTB mnostwo transkacji na jakichs itemkach sprzedazy i kupna pomiedzy dwoma kontami az na moim koncie zostało zero) instagram zaczal dodawac setki ludzi i posty o tym ze mam bitcoiny od muska : D,
  • Odpowiedz
affairz
  • 0
@agent001: @Luffik a jak odbywa się ten atak z tą kradzieżą sesji w praktyce? czy to jest w ogóle możliwe w warunkach takich że korzystam z XTB na domowej szyfrowanej sieci na własnym używanym tylko przeze mnie komputerze bez żadnego malware i nie klikam podejrzanych linków?

z tego co mi gpt odpowiedział to musi być
albo sniffing (niezabezpieczone wifi - niespotykane dziś)
albo atak XSS przez jakąś wadliwą stronę/aplikację - ale jak
  • Odpowiedz
agent001
agent001
  • 0
@affairz: jak zrobisz sobie rachunek sumienia to pewnie dzisiaj kliknales w kilka linków bo to jakis wykres ktoś podrzucił w komentarzu, a to jakis artykuł, także tak wyglada ten atak że nie wiadomo kiedy i co, wystarczy kliknąć w link, nic sie sie specjalnego nie wydarzy a przegladarka z aktywnymi sesjami logowania jest skopiowana i do użytku jakiegoś śmiecia : ) ja od tego czasu staram sie nie klikąć w
  • Odpowiedz
Luffik
Luffik
  • 0
@affairz:

ok ale w obu przypadkach MUSIAŁ być jakiś błąd ofiary

zawsze popełniamy błędy, jeden klik tutaj źle bo się człowiek zapomniał i gotowe.
Phishing i metody socjotechniczne sa tak skuteczne ponieważ ludzie popełniają błędy i działają pod wpływem emocji, nawet osoby z IT które coś tam o bezpieczeństwie wiedza mogą zostać ofiara.
  • Odpowiedz

Aktywne Wpisy

MonazoPL
Ruszamy z kolejnym #rozdajo – wygraj kartę podarunkową do Allegro o wartości 100 zł!

Aby wziąć udział w konkursie, zaplusuj ten wpis oraz w komentarzu krótko odpowiedz na pytanie konkursowe: Jeśli wygrasz, na co wydasz (lub do czego dołożysz) to 100 zł? ( ͡~ ͜ʖ ͡°
MonazoPL - Ruszamy z kolejnym #rozdajo – wygraj kartę podarunkową do Allegro o wartoś...

źródło: alior1000

Pobierz

91 odpowiedzi

MichuTop
MichuTop
Niesamowitym przykładem syndromu sztokholmskiego są dla mnie osoby postronne broniące astronomicznych zarobków lekarzy z NFZ, typu Aneta lat 40 kasjerka na minimalnej lub Mariusz lat 47 pracownik serwisu samochodowego. Liczne głosy od tych ludzi - "Trzeba było się uczyć", "Oni ciężko się uczyli przez 6 lat na studiach, zarobki 100k im się po prostu należą". Zupełnie jakby inni ludzie potrzebni gospodarce nie musieli się uczyć czy równie ciężko albo i ciężej pracować,

32 odpowiedzi

Aktywne Znaleziska

GTA 4 było bardziej zaawansowane niż GTA 5!
GTA 4 było bardziej zaawansowane niż GTA 5!
182
Myśleliście, że Chat Control to już przeszłość? Nic bardziej mylnego!
Myśleliście, że Chat Control to już przeszłość? Nic bardziej mylnego!
117
Japonia mówi "DOŚĆ" zachodniej cenzurze. Nowa polityka ma chronić gry i anime
Japonia mówi "DOŚĆ" zachodniej cenzurze. Nowa polityka ma chronić gry i anime
243
Kraków-Czemu my za darmo dajemy to deweloperowi
Kraków-Czemu my za darmo dajemy to deweloperowi
117
Polska buduje kolejne wzmocnienie granicy z Białorusią
Polska buduje kolejne wzmocnienie granicy z Białorusią
75

Popularne tagi