Un’ora dopo ho trovato una IDOR
Imbarazzante.
istanza self hosted e passa la paura
ha pure un botto di client fatti discretamente per android
Self hosted passa la paura da una parte ma arriva la paura da un altra
Più che altro, il client da usare è dettato dalle persone a cui si deve scrivere. Per lavoro nel mio campo è ubiquo skype da anni, nonostante tutti riconoscano che faccia assolutamente pena, sia a livello di app android/ios, sia su desktop, sia come qualità per chiamate varie (anche se oramai, per fortuna, per le chiamate di gruppo si è passati a zoom, che perlomeno funziona quasi decentemente).
Un tempo mi self-hostavo un server xmpp federato (prima che esistesse matrix), avevo anche vari bridge (che però spesso hanno limitazioni, e dopo uno sviluppo iniziale quando sono la novità, non sono mantenuti). Non penso di aver mai scritto a nessuno via xmpp se non forse a qualcuno della community open source e a degli amici che si erano fatti l’account.
Matrix è molto bellino, anche il client desktop non è per niente male.
Ho provato ad installarne un’istanza in self hosting non federata per usarla come sistema di comunicazione interno tra colleghi, in modo da non dover usare roba cloud tipo slack o porcherie del genere.
La cosa bella è che volendo puoi disabilitare la registrazione degli utenti, e abilitare l’autenticazione OAuth, così hai anche l’autenticazione a 2 fattori (per esempio con Authentik oppure con un tuo tenant 365)
Non ho dormito quasi per niente ma ho trovato un’altra vulnerabilita’, in questo caso una race condition in un project management tool abbastanza nuovo che sta diventando popolare velocemente (forse potete indovinare quale). Sono riuscito a bypassare il limite di membri di un team, che normalmente dipende dal paid plan.
Forse e’ ora di dormire
Mi piacciono un sacco i tuoi rapportini e trovo il tuo lavoro interessante… ma sei sicuro sia salutare?
Come lo faccio io sicuramente no
Tra 3 settimane inizio una vacanza per altrettante settimane e provero’ a disconnettermi da tutto
cmq in generale quando si tratta di comunicazioni in tempo reale e chat del genere
tra le tante cose bisogna tenere conto anche della segretezza in avanti
e di quella futura (o post-compromissione)
td;rl per la segretezza in avanti
le chiavi crittografiche in teoria dovrebbero essere ruotate molto frequentemente, in modo che se la chiave di crittografia corrente viene compromessa, non si espongano anche i messaggi della chat passati
quindi in teoria sono sconsigliati per comunicazioni a lungo termine o per trasmettere dati sensibili
cosa che Session non ha e mi sa anche matrix
Matrix ha una crittografia con PFS da quel che so
Si ma non di default mi sa, ci sono delle conf da effettuare e scabiarsi le chiavi della room( che con tutta sincerità non mi ricordo se ruotano etc queste chiavi) cmq ha algoritmi buoni e abbastanza recenti
Perché gli esperti non usano mac
E pace?
Comunque grazie al cazzo che
this is true even on the Linux version
il client è lo stesso ed è scritto in Electron. Indovina dove l’ho visto?
Comunque 'sta roba della chiave è il meno, soprattutto su Linux. Diciamo che se qualcuno ha accesso al tuo filesystem questo è il male minore che può capitarti.
Per intederci se puoi copiarti questa directory puoi anche copiarti quella dei cookie del browser
Perché? Se tutto è encrypted avere accesso al file system lo rende pressoché inutile.
Son sicuro che non fai lo stesso discorso salvando password in chiaro su un DB pensando che tanto se hanno accesso al tuo DB è l ultimo dei mali
Ho aggiunto sopra l’esempio con i cookie del browser, il fatto di avere encrypted è la ragione per la quale esiste FileVault, BitLocker etc. Infatti le cose van criptate, assolutamente
Mi pare il minimo che sta roba sia criptata