Для чего XSS собирает почты пользователей?

[Cha01337]

На это тоже уже отвечал, какой смысл в перехваченных сообщениях от XSS, если доступ к аккаунту и даже к твоим сообщениям на форуме не даст ровным счетом ничего ?

А какие минусы у регистрации через PGP ключ и никнейм? И почему бы не поставить такую регистрацию для тех, кто хочет?
Это вопрос скорее к администратору, но вы тоже можете высказать "А почему вы против регистрации по PGP ключу?" ну и назвать минусы такой регистрации

 

[arsarsov]

А какие минусы у регистрации через PGP ключ и никнейм? И почему бы не поставить такую регистрацию для тех, кто хочет?
Это вопрос скорее к администратору, но вы тоже можете высказать "А почему вы против регистрации по PGP ключу?" ну и назвать минусы такой регистрации

Да я совершенно не против реги по PGP, вопрос в том, что никто не будет переходить на PGP, потому что тут зарегистрировано очень много людей через текущий способ регистрации, и переход будет очень-очень-очень болезненным, форуму очень много лет, это не новый проект где все можно резко изменить.

P.S. Напиши админу ЛИЧНО, обсуди с ним этот вопрос, он тебе на все ответит, если вы придете к какому-то решению, возможно поднимется глобальное голосование.
А пока что ты просто публично пытается продвинуть идею, но по факту ничего не делаешь для этого тупо задавая вопросы "что плохого в PGP", займись этим серьезнее - начни с сообщения админу ЛИЧНО.

 

[Cha01337]

Да я совершенно не против реги по PGP, вопрос в том, что никто не будет переходить на PGP, потому что тут зарегистрировано очень много людей через текущий способ регистрации, и переход будет очень-очень-очень болезненным, форуму очень много лет, это не новый проект где все можно резко изменить.

А мы не будем всех, не нужно всех переводить на PGP ключи.
Только тех, кто хочет

При регистрации допустим "Использовать подтверждение по почте или подтверждение PGP ключом" выбираешь и все

и переход будет очень-очень-очень болезненным

Это может быть.
Я написал админу

 

[Dread Pirate Roberts]

А какие минусы у регистрации через PGP ключ и никнейм? И почему бы не поставить такую регистрацию для тех, кто хочет?
Это вопрос скорее к администратору, но вы тоже можете высказать "А почему вы против регистрации по PGP ключу?" ну и назвать минусы такой регистрации

потому что тут на весь форум наберётся человек 50, способных на такую регистрацию, и ради них тратить время на разработку такого плагина для форума нет смысла.

 

[BERSERK]

Хз, по моему на всех маркетплейсах и форумах, особенно по типу этого, должна быть опция не регистрировать почту.

 

[Cha01337]

потому что тут на весь форум наберётся человек 50, способных на такую регистрацию, и ради них тратить время на разработку такого плагина для форума нет смысла.

А если просто разрешить регистрацию без подтверждения почты? Без PGP допустим даже
Кто захочет, будут указывать кракозяблы okshdouhg@orjgoierjg.cowxapx

Потом например ставить 2FA коды и все

 

[Eject]

Cha01337 Зачем на тематическом форуме вообще регистраций по PGP-ключу, что это даст? Если уж так горит, регни тутанону через тор и замени на неё.

Да, потом пол года не заходи на нее, почта протухнет, а затем админ проведет день смены паролей.

 

[bigheadguy]

Потому что все идеально на форуме, кроме того что ты при регистрации через onion указываешь всегда клирнет почту.
Через голубей регистрации на форуме нет)

А какие минусы у регистрации через PGP ключ и никнейм? И почему бы не поставить такую регистрацию для тех, кто хочет?

это ты себе напридумывал) для тех, кто ведет дела на форуме, есть шифрование переписок, ставь галочки, если у тебя тут что то важное и никто не прочтет твои переписки. а с почтой, те уже много раз ответили как поступить. ПГП, не сделает форум идеальным, если ты, не соблюдаешь личные правила безопасности. и вообще, "безопасность" это фикция, в которую ты почему то веришь. выше ты думал , что с тора сидеть норм, не поймают) теперь на почте зациклился) иди в тГ) там норм все) никого не поймали ни разу

 

[Cha01337]

Cha01337 Зачем на тематическом форуме вообще регистраций по PGP-ключу, что это даст?

Зачем вообще на тематическом форуме регистрация по почте? Что это даст?

Минусы регистрации по почте:
1. К почте имеют доступ чужие люди (администратор почты tutonota, администратор portonmail, администратор gmail и тд. подставьте любую почту), им могут прислать запрос из органов и они выдадут твои данные и сообщения.

Если ты поднимаешь свою почту и регистрируешься на нее, доступ имеет хостинг на котором ты арендуешь сервер и его можно найти т.к. он в клирнете и имеет IP адрес, потом туда можно приехать и показав ордер, захватить твой сервер, помимо этого ты используешь домен (Все домены принадлежат ICANN, без разрешения ICANN ты не можешь сделать свой домен в клирнете).

Если потребуется, тебе просто арестуют твой сервер вместе с почтой, но могут и отобрать твой домен в клирнете т.к. он тебе не принадлежит

Про onion (tor) почту отвечал в этой теме, посмотрите на других страницах.

2. После взлома форума и слива базы, все почты попадают в открытый доступ и потом можно смотреть и пробивать например по логам и утечкам, где ты еще регистрировался и отправлять запросы для того чтобы получить информацию на тебя.
(Да, можно регистрироваться для каждого форума и сервиса отдельную почту, так и делайте сейчас)

А если ты спецслужба, ты можешь вообще отправлять запросы на gmail, protonmail и восстанавливать доступ к форуму используя почту пользователей.

3. Так же, спецслужбы могут отправлять и такие запросы на почтовые сервисы "Дайте все почты, которые связаны с форумом xss.pro" и получить список почт на которые приходили сообщения от xss

4. Так же спецслужбы могут найти почтовый сервер XSS с которого рассылаются сообщения на ваши почты и получить доступ к сообщениям. IP сервера отправителя видно.

На "А давайте спрячем сервер за 100 прокси, никто не найдет" - отвечал в этой теме.
Найдут!)

Зачем на тематическом форуме вообще регистраций по PGP-ключу, что это даст?

Безопасность и анонизм анонимность для пользователей. Ты держишь приватный ключ на виртуалке или вообще записал его на листочек, тебе при входе показывает капчу с сообщением зашифрованным публичным ключом, ты можешь его расшифровать своим приватным ключом и разгадав капчу войти в аккаунт.

Без почт, без чужих серверов ...

А если вместо почты использовать никнейм PGP ключ для подтверждения входа?
Тогда 1,2,3,4 пункты отпадают!
Минусы так никто и не назвал!
=====================

выше ты думал , что с тора сидеть норм, не поймают

Именно так я не говорил. Ты мои слова переделал.
Я спросил "TOR в клирнете - это ведь 3 прокси сервера, где последний прокси (выходная нода) общественный?"
И мне ответили "Да"

Я не обязан и не должен знать все и не претендую на всезнайку.
Могу чего-то не знать и не боюсь об этом спросить!

И еще я знаю, что выходную ноду TOR могут снифать и держать спецслужбы
Но если ты используешь TOR только на onion сайтах - это безопасно

для тех, кто ведет дела на форуме, есть шифрование переписок

Где ты используешь не свой (сгенерированный лично) публичный ключ
А тебе подсовывают какой-то ключ и говорят "Переписки зашифрованы" - очень сомнительно.
А где доказательства, что админ не может расшифровать и не хранит ключи?

Такая же фигня как в тг "Мы шифруем переписки, все переписки на наших серверах шифрованы" типо

иди в тГ) там норм все) никого не поймали ни разу

Ну думаю это сарказм

ПГП, не сделает форум идеальным, если ты, не соблюдаешь личные правила безопасности. и вообще, "безопасность" это фикция

Не сделает, но с ним лучше чем без него, согласись
По крайней мере выбор есть

 

[bigheadguy]

1. В onion нет IP адресов - по этому никто не знает где находится сервер какого-нибудь форума/сайта и не может туда физически прийти, потому что просто не знает где он находится! Ни спецслужбы, ни простой человек не знает где сервер

вот что ты писал про тор)

 

[bigheadguy]

И еще я знаю, что выходную ноду TOR могут снифать и держать спецслужбы

получается противоречие

Где ты используешь не свой (сгенерированный лично) публичный ключ
А тебе подсовывают какой-то ключ и говорят "Переписки зашифрованы" - очень сомнительно.
А где доказательства, что админ не может расшифровать и не хранит ключи?

так админ писал уже. себя обезопасьте. доверять кому то не стоит

Не сделает, но с ним лучше чем без него, согласись
По крайней мере выбор есть

не соглашусь. безопасности нет. если хотят, найдут. ты можешь только перехитрить. а как это сделать, не стану на публику выкладывать.

 

[Cha01337]

вот что ты писал про тор)

И кто скажет, что это не правда?) Давай я дам тебе onion адрес и ты найдешь мне IP сервера на котором стоит этот сайт, если ты такой умный и считаешь, что это не так

 

[bigheadguy]

И кто скажет, что это не правда?) Давай я дам тебе onion адрес и ты найдешь мне IP сервера на котором стоит этот сайт, если ты такой умный и считаешь, что это не так

ты зачем меня со спецами сравниваешь?) я не в коде не в айти не знаю) я руководствуюсь исключительно личным опытом и статистикой, которая ни разу не подтвердила, что есть какая то безопасность

 

[Cha01337]

получается противоречие

так админ писал уже. себя обезопасьте. доверять кому то не стоит

не соглашусь. безопасности нет. если хотят, найдут. ты можешь только перехитрить. а как это сделать, не стану на публику выкладывать.

Все, мы тебя услышали. Дальше можешь это не повторять.
Ты это уже говорил 2 или 3 раза

ты зачем меня со спецами сравниваешь?)

Не лезь, если не разобрался и не понимаешь о чем говоришь

 

[bigheadguy]

Все, мы тебя услышали. Дальше можешь это не повторять.
Ты это уже говорил 2 или 3 раза


Не лезь, если не разобрался и не понимаешь о чем говоришь

оккккей босс) ну все таки с почтой ты загнался) и ситуацию переварачиваешь сам)

 

[Prince]

Зачем вообще на тематическом форуме регистрация по почте? Что это даст?

Минусы регистрации по почте:
1. К почте имеют доступ чужие люди (администратор почты tutonota, администратор portonmail, администратор gmail и тд. подставьте любую почту), им могут прислать запрос из органов и они выдадут твои данные и сообщения.

Пля
А теперь, жду твоего ухода с всех форумов, открою для тебя секрет, на форумах есть такой плагин "Login as User", данный плагин позволяет, заходить на твой акк без пароля, читать твои личные смс, вообщем все что ты можешь, то и этот плагин так же может и ты даже не узнаешь что на твой акк заходили. Еще форумы могут собирать ип, инфу о твоем пк, телефоне и т.д, скажешь есть впн? Так они тоже сибирают инфу.
Скажешь можно поднять свой? А ты попробуй дыры залатать.
Скажешь найму специалиста! А откуда инфа что тот специалист не оставит лазейки для себя?
Скажешь есть тор? Так и он собирает инфу, ноды есть? А их ты поднимал? Короч
Хватит нести непонятно что, нету смысла на форумах пгп вводить. Если судить твоими, то вообще лучше ничего не юзать, почту чекают, жабу может владелец или хостер чекать, в токсе скрыто создатели чекают, юзай почтовых голубей, а не, их ж можно перехватить

 

[Cha01337]

Пля
А теперь, жду твоего ухода с всех форумов, открою для тебя секрет, на форумах есть такой плагин "Login as User", данный плагин позволяет, заходить на твой акк без пароля, читать твои личные смс, вообщем все что ты можешь, то и этот плагин так же может и ты даже не узнаешь что на твой акк заходили, хватит нести непонятно что, нету смысла на форумах пгп вводить. Если судить твоими, то вообще лучше ничего не юзать, почту чекают, жабу может владелец или хостер чекать, в токсе скрыто создатели чекают, юзай почтовых голубей, а не, их ж можно перехватить
Посмотреть вложение 52626Посмотреть вложение 52627

1. Это на какой движок плагин?
2. А на каком движке у нас форум?
3. А как работает PGP шифрование, когда ты сам генерируешь ключи?

Но я не спорю, что такой можно под любой движок написать, по этому и говорю, что не доверяю "Шифрованиваю переписок" на xss

PGP вводить стоит, я уже объяснял почему, повторять не буду для вас.
Вы тут набежали и несете какую-то ерунду, как будто специально прикидываетесь дураками.

Смысла вам что-либо дальше отвечать не вижу
Про тебя и bigheadguy правильно сказал 0xfff (Не заступаюсь за него):

Спойлер

Вам с вашим узким мышлением расказывать что то серьезнее чем написание парсера неуместно.

Если судить твоими, то вообще лучше ничего не юзать

Если судить моими, будет лучше если сделают PGP для тех, кто хочет
Почему будет хуже - никто так и не сказал

Для вас нужно оставить регистрацию по почте и вход по почте, потому что вы тоже тут для чего-то нужны видимо
=====================
Кому нужно - прочитали всю тему и увидели, что увидели

 

[bigheadguy]

Про тебя иbigheadguy правильно сказал 0xfff

ойой) конечно, к мнению этого человека стоит прислушаться) в ТГ продает софт и на ввх внес деп)) хаххахахахаа. про лолз не забудьте, там школота кипятком писать начнет от таких персонажей

 

[Cha01337]

ойой) конечно, к мнению этого человека стоит прислушаться) в ТГ продает софт и на ввх внес деп)) хаххахахахаа. про лолз не забудьте, там школота кипятком писать начнет от таких персонажей

Плевать что он продает и куда что внес
Разговор не об этом

 

[Dread Pirate Roberts]

И кто скажет, что это не правда?) Давай я дам тебе onion адрес и ты найдешь мне IP сервера на котором стоит этот сайт, если ты такой умный и считаешь, что это не так

несколько лет назад в рамках одного исследования я, частное лицо с ограниченным бюджетом, поднял большое количество нод тора, количество составляло от 5% до 7% от всех серверов, а трафик доходил до 10%.
не вижу ни единой причины, по которой условное ФБР, организация с неограниченным бюджетом, не может держать 90% всех нод на данный момент, и чисто статистически вычислять реальные IP скрытых сервисов.

ну и вдобавок есть неграмотные админы, которые вешают вебсервер на 0.0.0.0 вместо 127.0.0.1 что позволяет насканить его меньше, чем за час.