Для чего XSS собирает почты пользователей?

[Dread Pirate Roberts]

Допустим придёт незашифрованное. Так каким образом сообщение перехватят? Можешь рассказать как этот бэкдор будет реализован, просто простейший алгоритм?

ты открываешь ящик Пандоры
подавляющее большинство почтовых серверов в мире принимает невалидные сертификаты (самоподписанные, истёкшие, и т.п.), потому что иначе пользователи будут насиловать мозг саппорту "почему почта не ходит?".
а дальше додумаешь сам)

 

[bigheadguy]

спорите о том, чего нет) какая безопасность?)) уходим в НЕФСБШНУЮ ТГ и все. там все дела серьезные делаются. все самые серьезыне ТИМЫ там. эх старики, ничего не понимаете

 

[MembRupt]

На форуме с 2021, и только сейчас это вопрос заинтересовал?

 

[Cha01337]

PGP 2FA тема!)

Спойлер

Вот в этой теме предложили:

https://xss.pro/threads/32234/

Вообще без почт и приватный ключ можно записать хоть на листочек)

Вот сделать авторизацию по PGP ключу, как там обсуждалось, было бы здорово!

1. При регистрации указываешь публичный PGP ключ, не существующую почту или логин и пароль
2. При авторизации, после ввода логина(не существующей почты) и пароля вылезает капча (зашифрованное вашим публичным PGP ключом сообщение, которое расшифровать можно только приватным PGP ключом, который есть только у вас)
3. Вы расшифровываете вопрос своим приватным PGP ключом
4. Вводите ответ и заходите на форум без всяких почт в клирнете через onion версию

-----------
Так же дополнительно еще выскажусь против клирнет почт:
Пофантазируем и предположим, что в gmail, protonmail и другие почты общественные приходит запрос из спецслужб "Дайте все почты, которые связаны с форумом XSS" - они (админы protonmail, gmail) сканируют все почты на сообщения от XSS

И потом передают и восстанавливают, получают доступ в аккаунты пользователей и возможно модераторов, администраторов


Про маил, яндекс и тд. вообще молчу, продают 100% доступы и зеркала к почтам, т.е. даже обычный человек зная почту может получить к ней доступ за $

 

[Prince]

Просто берешь, качешь эмулятор на пк, а можешь накатить эмулятор андроида на дедике + дедике, на них зайти с виртуалки с впн + тор, установить впн на эмулятор андроида, скачать гмаил, пройти обычную регу и когда попросит ввести номер, жмякай пропустить и вуаля у тебя почта без номера, зареганая, с пк + впн + виртуалка + впн + тор + дедик + дедик + эмулятор на впне
Не блаходари

 

[Cha01337]

пк + впн + виртуалка + впн + тор + дедик + дедик + эмулятор на впне

1. «Сколько верёвочке не виться, а конец будет»
2. Гмаил почту прочитают, если будет запрос из органов +ее могут заблочить

Кто может нормально рассказать про TOR?)
Если ты используешь TOR в клирнете, чем он отличается от обычных прокси серверов?)

Просто тем, что выходную ноду использует много человек?
А к выходной ноде ты подключаешься просто через 2 прокси сервера?

То есть получается использовать TOR почти равно использовать 3 прокси сервера, где последний прокси общественный или нет?

 

[Noizefan]

То есть получается использовать TOR почти равно использовать 3 прокси сервера, где последний прокси общественный или нет?

да. А в чем беда?
говоря грубо, вся сеть тора это пул прокси разного назначения. Одни из них - промежуточные, другие - выходные. Цепочка меняется при перезапуске или мануально.

Если ты используешь TOR в клирнете, чем он отличается от обычных прокси серверов?)

если использовать и тор в торе, а если изъясняться более правильно - просто подключаться к внутренним onion-сервисам - все работает абсолютно точно так же, просто в лице выходной ноды выступает сам сервис (т.е. onion hidden service является сам по себе выходной нодой и проксирует весь траф на локальный порт, например на nginx 80/443).


что ты пытаешься изобрести? перейти на логин/пароль вместо почты? пгп? как восстанавливать тогда?
90% пользователей форума здесь даже скорее всего ничего не напишут никогда, просто читают, усложнять им жизнь технологиями которые понимают оставшиеся 10% супер пупер хакеров смысла для владельца форума никакого.
Если ты такой супер пупер хакер из 10% веди все деловые переговоры в жабе со своим сервером и клиентом, отр и пгп, и там никто никогда тебя не найдет. Если ты категорически облажаешься и там по безопасности, тогда указал ты личную почту или временную тут - уже никакого значения иметь не будет.
Форум это не место для работы, форум это место для знакомств и общения. За знакомства если не ошибаюсь еще ни в одной стране мира уголовное преследование не предусмотрено.
Это уже ты сам решил открывать тут торговую тему, допустим, и открыто писать в ней бтц адрес свой.

У 100% людей у кого возникают подобные претензии к форуму как правило нет никакой деятельности из за которой стоило бы так переживать.

 

[Cha01337]

90% пользователей форума здесь даже скорее всего ничего не напишут никогда, просто читают, усложнять им жизнь технологиями которые понимают оставшиеся 10%

Да не нужно для всех это делать
Кто указал PGP публичный, тот и молодец
Кто не указал, тот дальше по почте заходит и никто его не выгоняет и не принуждает указывать PGP

У 100% людей у кого возникают подобные претензии к форуму как правило нет никакой деятельности из за которой стоило бы так переживать.

У меня нет никакой деятельности, я не переживаю например
Просто приятно, когда тебя никто не заставляет регистрироваться на почту и подтверждать ее

пгп? как восстанавливать тогда?

Делаешь еще один аккаунт и админу в личку или по контактам подтверждаешь своим приватным ключом, что ты - это ты
Он тебе шлет зашифрованное сообщение с вопросом, ты его расшифровываешь приватным ключом и пишешь ответ

Можно даже это автоматизированно сделать, чтобы ты нажимал кнопку "Восстановить аккаунт" и получал доступ к той же капче зашифрованной твоим PGP ключом публичным

Потом бы ты его расшифровывал приватным (тем самым подтверждал, что ты - это ты) и менял пароль

усложнять им жизнь технологиями которые понимают оставшиеся 10%

Для тех, кто не понимает (про PGP ключ):
1.Ты генерируешь приватный и публичный ключ
2.Приватный ты распечатываешь или прячешь где-то на виртуалке без интернета допустим, публичный ты даешь кому-то, кто будет шифровать для тебя сообщения
3.Шифровать для тебя сообщения может кто угодно, кому ты дал публичный ключ
4.Расшифровать сообщение может только обладатель приватного ключа

Вот и все. Если еще сделать мануал как генерировать, тогда разберется и поймет вообще кто угодно

 

[yellow]

я должен все равно указать клирнет почту и подтвердить ее?

не должен, тебя никто не заставляет тут регатся
также есть в тор-е мыло если тебе уж так нужно.
хоть i2p емэйл сервер поднимай, это твои проблемы почему местный админ должен заботится об этом?

 

[Cha01337]

не должен, тебя никто не заставляет тут регатся
также есть в тор-е мыло если тебе уж так нужно.
хоть i2p емэйл сервер поднимай, это твои проблемы почему местный админ должен заботится об этом?

Не должен.
Потому что на других форумах есть возможность регистрироваться нормально, не указывая почту.
Просто из чувства конкуренции "Почему это есть форумы, где регистрация сделана лучше чем здесь?"

Например на ввх

также есть в тор-е мыло если тебе уж так нужно.

Это скорее всего не тор мыло, это обычное мыло с адресом, зеркалом в onion
С обычного (не тор) мыла сообщение на onion мыло не дойдет

Но если дойдет, есть ли у вас мануал или инструкция как сделать такую почту, чтобы я мог в/на сервисах, сайтах, форумах и тд. регистрироваться указывая свою почту на .onion домене?

хоть i2p емэйл сервер поднимай, это твои проблемы почему местный админ должен заботится об этом?

Про i2p вообще ничего не знаю, но было бы интересно почитать
И сразу вопрос: А может ли сообщение из обычный почты (Например от XSS) дойти на почту в i2p? Я думаю не может, но могу ошибаться

 

[yellow]

С обычного (не тор) мыла сообщение на onion мыло не дойдет

верно не дойдет. как замутить relay для email - нагуглишь сам.

Потому что на других форумах есть возможность регистрироваться нормально, не указывая почту

еще раз: тебя сюда никто не звал - если нравится на ввх - тут не кто не держит

(Например от XSS) дойти на почту в i2p?

нет конечно не может. и не кто не станет изза тебя и еще кучки фриков делать такие вещи,
если не знаешь как обычну почту регнуть не оставив следов - это также твои проблемы.

Регай через впн себе ящик где угодно, если параноя сделай себе два двойных впн-а и прочее.

 

[Cha01337]

замутить relay для email

Почти равно поставить обычный сервер под почту без onion
Какой смысл в 2х серверах - один под relay, другой под onion
С таким же успехом ставь просто сервер под почту и используй свою корп почту

верно не дойдет.

Вот в этом и прикол

нет конечно не может

Вот и получается у нас onion адрес есть, но возможности зарегистрироваться через него с анонизмом нет - так и так почту палишь, которая стоит на твоем сервере (либо relay стоит на твоем сервере - relay захватят и будут читать почту твою, получат доступ в аккаунт)

Либо используешь типо "онион/тор почту" (которая, как мы выяснили никакая не онион) и сервера (либо relay) ее знают спецслужбы, и они могут выслать туда запрос "А расскажите кто используя ваш сервис регистрировался на таком-то форуме" и получить доступы

 

[arsarsov]

ТC, что за бред ты пишешь, ну получат доступ к почте, включай 2FA, одноразовые коды входов используй, и никто не получит доступ к твоему акку.
А даже если и получат каким-то чудесным образом - если ты не ведешь никакие диалоги в личных переписках форума, а используешь их только лишь для выдачи контакта TOX\Jabber то никакой полезной информации органы не получат, даже завладев твоим аккаунтом. Да даже если ты обсуждаешь какие-то рабочие моменты в лс форума, никто не знает кто ты есть, есть только информация, что такой-то пользователь занимается такими-то вещами, а кто он - неизвестно. Или ты пишешь свой домашний адрес всем кто начал с тобой переписку первым же сообщением?
По поводу раскрутки 100+ цепочек прокси\впн, никто таким никогда не занимался и заниматься не будет, слишком много ресурсов нужно затратить, что бы раскрутить цепочку охватывающую кучу разных стран, особенно недружественных, там при запросе на 3 буквы пошлют либо проигнорируют.
Ловят людей на их тупости, человеческий фактор - это самая опасное звено в этой цепочке из 100+ прокси и впн.

 

[Cha01337]

ТC, что за бред ты пишешь, ну получат доступ к почте, включай 2FA, одноразовые коды входов используй, и никто не получит доступ к твоему акку.

Тут согласен частично
Если ты 2FA по коду подключил - не получат, но если 2FA по почте - получат

А даже если и получат каким-то чудесным образом - если ты не ведешь никакие диалоги в личных переписках форума, а используешь их только лишь для выдачи контакта TOX\Jabber то никакой полезной информации органы не получат, даже завладев твоим аккаунтом.

Да

По поводу раскрутки 100+ цепочек прокси\впн, никто таким никогда не занимался и заниматься не будет

1. А почтовый сервер XSS с которого XSS шлет сообщения, имеет цепочку из 100+ прокси?

В принципе я согласен, что длинную цепочку тяжело, но реально раскрутить и проще например просто почты популярные просканировать и тд. как-то другими методами действовать.

никто таким никогда не занимался и заниматься не будет

2. Откуда у тебя информация по всем странам о том, чем занимаются их спецслужбы и как они ловят преступников (преступников - это по их мнению и их законам)?

Тяжело - это смотря для какой страны и для кого, для какой службы.
Для твоей службы и твоей страны, может быть и тяжело.

Тяжело ли для США - сомнительно, что тяжело.
США - это ICANN (т.е. все домены в обычном интернете)
США - это гугл и все прилегающие сервисы, например гугл капча которая стоит почти везде, гугл статистика тоже почти везде, гугл карты, ютуб, андроид с плеймаркетом и тд.

Им и запросы в другие страны отправлять не нужно, тебя найдут
============
Я что многого прошу? Регистрацию без почты, как на других форумах в onion!
Причем я не только за себя прошу, я и для вас прошу
=============
Минусы регистрации через почту и подтверждения этой почты я назвал в теме, их много
Но минусы регистраци с PGP ключом не назвал никто. Кто может назвать минусы регистрации через несуществующую почту (никнейм) и подтверждение по PGP ключу? Давайте это обсудим

Что есть кроме "Потерял приватный ключ, значит потерял доступ к аккаунту"?

 

[bigheadguy]

Либо используешь типо "онион/тор почту" (которая, как мы выяснили никакая не онион) и сервера (либо relay) ее знают спецслужбы, и они могут выслать туда запрос "А расскажите кто используя ваш сервис регистрировался на таком-то форуме" и получить доступы

ты почему думаешь, что тебя через почту ловить будут?) у спецслужб инструменты, про которые ты не знаешь) а ты за почту переживаешь) голубями пользуйся, 100% варик. к тебе ip точно не приведет

 

[arsarsov]

1. А почтовый сервер XSS с которого XSS шлет сообщения, имеет цепочку из 100+ прокси?

В принципе я согласен, что длинную цепочку тяжело, но реально раскрутить и проще например просто почты популярные просканировать и тд. как-то другими методами действовать.

Да какая разница есть ли у XSS цепочка прокси или нет, я уже описал выше ситуацию, даже если в твой аккаунт залезут и будут читать все посты и сообщения - это не даст ничего конкретного, если ты заходишь писать все эти сообщения через надежный канал.

Я что многого прошу? Регистрацию без почты, как на других форумах в onion!

Регистрируй любую почту через длинную цепочку частично запуская трафик через тот же onion(tor), да хоть mail ru на купленный виртуальный номер за любую анонимную крипту, и используй ее для входа. Допустим восстановят доступ к твоему аккаунту, что дальше ? А дальше ничего, если ты в лс свой домашний адрес всем подряд не пишешь.

2. Откуда у тебя информация по всем странам о том, чем занимаются их спецслужбы и как они ловят преступников (преступников - это по их мнению и их законам)?

Тяжело - это смотря для какой страны и для кого, для какой службы.
Для твоей службы и твоей страны, может быть и тяжело.

Тяжело ли для США - сомнительно, что тяжело.
США - это ICANN (т.е. все домены в обычном интернете)
США - это гугл и все прилегающие сервисы, например гугл капча которая стоит почти везде, гугл статистика тоже почти везде, гугл карты, ютуб, андроид с плеймаркетом и тд.

Что бы тебя начали так искать тебе нужно быть как минимум Сноуденом
А еще золотое правило - разделяй технику для работы и для повседневной жизни, и тогда никакая метадата, случайно собранная какими-то сервисами тебя не выдаст

 

[Cha01337]

ты почему думаешь, что тебя через почту ловить будут?) у спецслужб инструменты, про которые ты не знаешь) а ты за почту переживаешь) голубями пользуйся, 100% варик. к тебе ip точно не приведет

Потому что все идеально на форуме, кроме того что ты при регистрации через onion указываешь всегда клирнет почту.
Через голубей регистрации на форуме нет)

А какие минусы у регистрации через PGP ключ и никнейм? И почему бы не поставить такую регистрацию для тех, кто хочет?

 

[arsarsov]

всегда клирнет почту

подними свою почту в onion, если тебя это так сильно беспокоит, и если у тебя вообще есть позывы беспокоиться по этому поводу, значит ты чем-то промышляешь не слишком добрым, а значит денег должно хватить, что бы поднять почтовый сервис в торе
проблему сделал из ничего

 

[Cha01337]

подними свою почту в onion, если тебя это так сильно беспокоит

На это уже отвечал.
Как поднять почту в onion без relay сервера на которую дойдут сообщения с XSS почты?)

 

[arsarsov]

На это уже отвечал.
Как поднять почту в onion без relay сервера на которую дойдут сообщения с XSS почты?)

На это тоже уже отвечал, какой смысл в перехваченных сообщениях от XSS, если доступ к аккаунту и даже к твоим сообщениям на форуме не даст ровным счетом ничего ?