грёбаный стыд, и это "один из топовых хакерских форумов"надеюсь, хоть здесь подобных приколов нет.
https://*************/ams/11/
-
XSS.stack #1 – первый литературный журнал от юзеров форума
При включение 2FA на Exploit.IN отправляется запрос в google
- Автор темы R00v
- Дата начала
Может кто процитировать статью сюда?
там школотроны умничают о том, чего не знают ))
Да, ты прав, посыпаю голову пеплом. Оно проблема только в связке, по отдельности проблем нет. Либо можно убрать issuer и тогда поди угадай откуда эта двухфакторка. Ну и имхо, если такая проблема с недоверием к TOTP, то делайте все локально (на гитхабе куча скриптов).
проблема с названием самого популярного приложения - "Google Authenticator". я уже неоднократно писал об этом: https://xss.pro/threads/96629/post-670891
2FA с помощью TOTP - это очень хорошее, если не идеальное, решение для безопасности, но все боятся им пользоваться из-за страшного слова GOOGLE, даже не подозревая о том, что существует сотня реализаций с открытым кодом не от гугла.
По заблюренной ссылке выше написана ерунда для пиара собственного ресурса. Хватит пиарить бред с неизвестного ресурса. Отвечал неоднократно - и коротко, и расширенно. Полная ерунда, ни слова правды. Вероятно, источник этого "инсайда" - канал "Слив эксплойт" в телеге =) Или еще подобная муть. Я вам таких историй десяток могу сочинить. Я с уважением и даже радостью отношусь с соседним форумам, я хочу восстановить форумный движ, хочу, чтобы людей вернулись с телеги на форумы. Так что конкурентов у нас нет, все форумы для нас - дружественные. Но только не тогда, когда о нас придумывают истории. Это некрасиво.
В остальном, следите за собственной безопасностью на программно-техническом уровне. Не стоит заходить на форумы, в жабы и е-маилы с собственного домашнего ипа. Не стоит пользоваться телегой (вообще никак, в принципе, не используйте ее). Не стоит выводить крипту с бирж на собственную карту. И не болтайте лишнего друзьям-партнерам. К сожалению, прошли те времена, когда мы могли дружить в реале, созваниваться, собираться на поинты и круто проводить время вместе.
Это сообщение прошу не цитировать и не отвечать, дабы не уходить в оффтоп.
В остальном, следите за собственной безопасностью на программно-техническом уровне. Не стоит заходить на форумы, в жабы и е-маилы с собственного домашнего ипа. Не стоит пользоваться телегой (вообще никак, в принципе, не используйте ее). Не стоит выводить крипту с бирж на собственную карту. И не болтайте лишнего друзьям-партнерам. К сожалению, прошли те времена, когда мы могли дружить в реале, созваниваться, собираться на поинты и круто проводить время вместе.
Это сообщение прошу не цитировать и не отвечать, дабы не уходить в оффтоп.
А хотите прикол?
Открываем дебаггер, панель запросов, отключяем кэш и заходим на любую страницу хсс, например xss.pro.
Видим запрос на https://cdn.jsdelivr.net/joypixels/assets/7.0/png/unicode/64/1f1f7-1f1fa.png. На запросе стоит реферрер xss.pro. Т.е., каждый раз когда каждый юзер заходит на сайт не закэшировав эту картинку (т.е. как минимум однажды), ваш ИПшник по логам этого цдна будет проассоциирован с хсс.
Открываем дебаггер, панель запросов, отключяем кэш и заходим на любую страницу хсс, например xss.pro.
Видим запрос на https://cdn.jsdelivr.net/joypixels/assets/7.0/png/unicode/64/1f1f7-1f1fa.png. На запросе стоит реферрер xss.pro. Т.е., каждый раз когда каждый юзер заходит на сайт не закэшировав эту картинку (т.е. как минимум однажды), ваш ИПшник по логам этого цдна будет проассоциирован с хсс.
именно поэтому нельзя выходить в интернет с голым браузером, без пачки privacy/security аддонов.
