The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В Proton Authenticator выявлено оседание секретных ключей в отладочном логе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Proton Authenticator выявлено оседание секретных ключей в отладочном логе"  +/
Сообщение от opennews (??), 05-Авг-25, 19:02 
В представленном на прошлой неделе приложении Proton Authenticator, применяемом для аутентификации при помощи одноразовых паролей, выявлена проблем с конфиденциальностью - в сборках для мобильной платформы iOS забыли отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи для генерации одноразовых паролей. Подобный лог сводил на нет шифрование ключей и ограничение к ним доступа по PIN-коду или биометрической аутентификации. Проблема устранена в обновлении 1.1.1. В сборках для Android в лог сохранялся только идентификатор ключа, а не сам ключ...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63685

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +9 +/
Сообщение от Аноним (-), 05-Авг-25, 19:02 
> отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи

А вроде на kotlin, swift и прочих рустах. Казалось бы что может пойти не так? Что еще эксперты от крипто там забыли или забили?

Ответить | Правка | Наверх | Cообщить модератору

25. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +/
Сообщение от blkkid (?), 06-Авг-25, 05:13 
к сожалению, от тупости никакой язык никогда не спасёт

честно говоря, мне приложение показалось вообще навайбкоденным и внаглую скопированным с ente auth, который тоже облачный кодогенератор с E2EE, только от другой компании (и достаточно долго уже существует)

Ответить | Правка | Наверх | Cообщить модератору

37. "В Proton Authenticator выявлено оседание секретных ключей в ..."  –1 +/
Сообщение от Жироватт (ok), 06-Авг-25, 09:19 
Никогда такого не было - и вот опять: очередная серебряная пуля, "баззворд пятилетки" не спасает от таких вот примитивных факапов

Нужен срочно язык, который надо назвать CORROSION. Его фичей будет ультимативная безомасность логов и отладки: сам код будет скомпилирован для архитектуры БЭСМ-6, который будет выполняться в специальной виртуалке, которая запускается из специализированного БИЗАПАСНОГО окружения (расшифровываемого лоадером на лету при запуске и необходимости считать блок, каждый блок байт из этого окружения будет шифроваться ключом, хранящемся в предыдущем блоке, гарантированно уникальным). Это окружение будет давать доступ к логам только если программист вставил свою смарт-карту, прошел биометрию и еще одни фактор со звонком нейросети на телефон, смог ответить на 18 вопросов о себе и станцевал на камеру чечётку и ламбаду.

Ух, ЗАЖИВЁМ!

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

50. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +1 +/
Сообщение от penetrator (?), 06-Авг-25, 19:28 
котлин ущербный, хуже свифта даже, лучше уж чистая Java
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "В Proton Authenticator выявлено оседание секретных ключей в ..."  –5 +/
Сообщение от жявамэн (ok), 05-Авг-25, 19:05 
луникс-иксперды а как лог, который лежит в песочнице приложения является компрометацией?
аппле и так все пароли может украсть если захочет.
а другие приложения в песочницу к другому никак зайти не смогут
Ответить | Правка | Наверх | Cообщить модератору

11. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +4 +/
Сообщение от Аноним (11), 05-Авг-25, 19:58 
отобрали у тебя твой айфон, подключили к компьютеру, приложили твой палец, а не, сейчас так не принято, показали айфону твой фейс, тыкнули что доверять этому компьютеру, и скопировали все логи! профит!
Ответить | Правка | Наверх | Cообщить модератору

19. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +4 +/
Сообщение от Минона (ok), 05-Авг-25, 22:15 
Теперь даже паяльник не требуется?!
Ответить | Правка | Наверх | Cообщить модератору

26. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +1 +/
Сообщение от нах. (?), 06-Авг-25, 07:31 
Просто теперь надо его в ж0пу совать а не в ноздрю - личико пригодится ипхон отпереть.

Ответить | Правка | Наверх | Cообщить модератору

44. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +/
Сообщение от Минона (ok), 06-Авг-25, 09:58 
> Просто теперь надо его в ж0пу совать а не в ноздрю -

А шо, так можно было?!

Ответить | Правка | Наверх | Cообщить модератору

7. "В Proton Authenticator выявлено оседание секретных ключей в ..."  –5 +/
Сообщение от Аноним (7), 05-Авг-25, 19:26 
Гугл-аутентификатор-господа снисходительно посмеиваются. Пусть он и не опен-сорс, зато простой как полено и таких детских болезней не имеет. Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле?
Ответить | Правка | Наверх | Cообщить модератору

13. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +3 +/
Сообщение от Аноним (11), 05-Авг-25, 20:02 
> Как можно было настолько ошибиться в приложении уровня хелло-ворлд, чья задача просто выводить код, вычисленный по наипростейшей формуле?

они еще не посмотрели как в этом приложении синхронизация работает! наверняка и там что-то напутали, на дев-сервер в АНБ данные отправляются

Ответить | Правка | Наверх | Cообщить модератору

27. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +2 +/
Сообщение от нах. (?), 06-Авг-25, 07:38 
> Как можно было настолько ошибиться в приложении уровня хелло-ворлд

А где тут - ошибка? Это ж системная функция. Модные-современные-вейп-кодерки не представляют себе написания программы без логгинга каждого пука. Еще и ужасно огорчаются когда им сообщают что хранилка не резиновая.

Вот почему эти логи еще не отправлялись в пару "надежных" еластиков где-то в Парагвае - этого вот я не могу понять. Может в релизной сборке забыли включить.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

42. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +/
Сообщение от Tron is Whistling (?), 06-Авг-25, 09:35 
> Модные-современные-вейп-кодерки не представляют себе написания программы без логгинга каждого пука.
> Еще и ужасно огорчаются когда им сообщают что хранилка не резиновая.

Не в бровь, а в шоколадный толерантный глаз.


Ответить | Правка | Наверх | Cообщить модератору

43. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +1 +/
Сообщение от Tron is Whistling (?), 06-Авг-25, 09:37 
И потом "ничо, мы ща data lake на s3 от [провайдера вписать] построим, место будем ж**й есть". Им говоришь - "вы рехнулись?"

И через полгода такой приходит финансист грит "робята, вы чо, ох***, мы за этот месяц ох***ард заплатили за вот этот сторейж сервис или как оно у вас", а ты ему так пальчиком на отдел девляпсов показываешь, говоришь, это, может авгиевы конюшни уже сейчас расчистить, а то мы их как-то любим слишком...

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

36. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +/
Сообщение от Онаним443 (?), 06-Авг-25, 09:06 
Гугл аутентикатор еще и с гуглом синхронизирует все ключи по дефолту, угнвли гугл акк и все ключики тоже, безопасно
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +2 +/
Сообщение от 12yoexpert (ok), 05-Авг-25, 19:32 
не прокатило

ничего, есть ещё почта

Ответить | Правка | Наверх | Cообщить модератору

10. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +2 +/
Сообщение от Аноним (11), 05-Авг-25, 19:37 
а в обновлении 1.1.2 снова забудут отключить?
Ответить | Правка | Наверх | Cообщить модератору

51. "В Proton Authenticator выявлено оседание секретных ключей в ..."  +/
Сообщение от Yessir (?), 07-Авг-25, 01:30 
Когда будет нужно, включат.
Разработчика отпускать не хотели просто, теперь отпустят.
Ответить | Правка | Наверх | Cообщить модератору

14. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +2 +/
Сообщение от User (??), 05-Авг-25, 20:10 
... но стоило мне ОДИН РАЗ...(С)
Ответить | Правка | Наверх | Cообщить модератору

38. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от Жироватт (ok), 06-Авг-25, 09:21 
Да, Олаф, ту попойку теперь уже никто не забудет
Ответить | Правка | Наверх | Cообщить модератору

15. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +1 +/
Сообщение от Tron is Whistling (?), 05-Авг-25, 20:40 
"Забыли", ага. И платформа как раз правильная для "забывания".
Яббл - пока единственный, кто не сдал шифрование.
Ответить | Правка | Наверх | Cообщить модератору

28. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от нах. (?), 06-Авг-25, 07:40 
бритву хэнлона не проходит.

Ответить | Правка | Наверх | Cообщить модератору

16. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +3 +/
Сообщение от Tron is Whistling (?), 05-Авг-25, 20:44 
А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут.
Ответить | Правка | Наверх | Cообщить модератору

17. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +4 +/
Сообщение от Аноним (-), 05-Авг-25, 22:03 
> А если по серьёзу - фейл такого масштаба прямо на старте, да ещё после кучи
> баззвордов... Добавил в список "обходить стороной", мало ли ещё чего там забудут.

Хайп на секурити обычно заканчивается как-то так.

Ответить | Правка | Наверх | Cообщить модератору

18. "В Proton Authenticator для iOS выявлено оседание секретных к..."  –1 +/
Сообщение от Аноним (18), 05-Авг-25, 22:11 
Да на каком старте? Протон уже и так по уши в дерьме.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

21. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +1 +/
Сообщение от Аноним (21), 05-Авг-25, 22:20 
А чего ж его блочат у нас ?
Ответить | Правка | Наверх | Cообщить модератору

22. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +1 +/
Сообщение от 12yoexpert (ok), 05-Авг-25, 22:37 
у нас ничего не блочат
Ответить | Правка | Наверх | Cообщить модератору

52. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от Аноним (52), 07-Авг-25, 13:46 
В России блочат только в путь, уже даже ограничивают скорость за пределами чебурнета у некоторых провайдеров. Это можно было увидеть по speedtest, до того как его тоже заблокировали
Ответить | Правка | Наверх | Cообщить модератору

29. "В Proton Authenticator для iOS выявлено оседание секретных к..."  –1 +/
Сообщение от нах. (?), 06-Авг-25, 07:46 
ну может он товарищмаёру отказал в любви (хотел за деньги, а майор же денег не берет)? А с господином штурмбаннфюрером вот - поделился.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

30. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +1 +/
Сообщение от User (??), 06-Авг-25, 07:47 
Это не у нас, это у них оборудование деградировало! Читайте официальный канал РКН в мессенджере MAX - только там проверенная информация!
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

39. "В Proton Authenticator для iOS выявлено оседание секретных к..."  –5 +/
Сообщение от Жироватт (ok), 06-Авг-25, 09:24 
Как показало время, года с ~2014го - уж лучше РКН в МАХ, чем набросы от очередной дочери офицера на анонимной помойке
Ответить | Правка | Наверх | Cообщить модератору

40. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от Tron is Whistling (?), 06-Авг-25, 09:33 
То, что вы написали - оно даже не в списке "обходить стороной".
Оно в "deny under any circumstances".
Ответить | Правка | Наверх | Cообщить модератору

45. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +1 +/
Сообщение от User (??), 06-Авг-25, 10:23 
Ну как по мне, так "и раввин, и капуцин одинаково воняют" - да и вообще, дихотомия очевидно ложная - но вы, разумеется, вольны верить в "дергадацию детей защитой оборудования", "хитрые планы" и вот это вот всё - кто ж вам запретит-то?
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

41. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от Tron is Whistling (?), 06-Авг-25, 09:34 
> Да на каком старте? Протон уже и так по уши в дерьме.

Не, ну вы не путайте VPN c яичницей.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

53. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от Аноним (53), 07-Авг-25, 14:40 
Я не про VPN, а про компанию вообще. Которая якобы за «сеьюрность».
Ответить | Правка | Наверх | Cообщить модератору

54. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от Tron is Whistling (?), 07-Авг-25, 22:24 
Секурность и third-party VPN, вы серьёзно?
Оно по определению заранее untrusted, поэтому что там забыли - как-то фиолетово.
Ответить | Правка | Наверх | Cообщить модератору

23. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +2 +/
Сообщение от Аноним (23), 06-Авг-25, 00:12 
Срез всей айти отрасти 21го века и опенсорса впридачу - в одной новости :)
Ответить | Правка | Наверх | Cообщить модератору

31. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от нах. (?), 06-Авг-25, 07:47 
Но, обратите внимание - тысячегласс не спит!

Ответить | Правка | Наверх | Cообщить модератору

32. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от ryoken (ok), 06-Авг-25, 07:51 
>>тысячегласс

..ээ.. хмм... Гекатонхейр..? (или как там это древнегреческое чудище звали-то...)

Ответить | Правка | Наверх | Cообщить модератору

33. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +1 +/
Сообщение от User (??), 06-Авг-25, 07:56 
> ..ээ.. хмм... Гекатонхейр..? (или как там это древнегреческое чудище звали-то...)

Но-но! Эти вот - сторукими были (Откуда руки росли - мифы умалчивают, так что скорее всего тоже годится), а тысячагласс был великан Аргус (Спойлер - кончил плохо, тысячуглассоф приватизировала корпоратка-Гера, так что тоже - тора-диция!).

Ответить | Правка | Наверх | Cообщить модератору

35. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от ryoken (ok), 06-Авг-25, 08:04 
> Но-но! Эти вот - сторукими были (Откуда руки росли - мифы умалчивают,
> так что скорее всего тоже годится), а тысячагласс был великан Аргус
> (Спойлер - кончил плохо, тысячуглассоф приватизировала корпоратка-Гера, так что тоже -
> тора-диция!).

Прошу прощения, мифы читал в школе, память имеет ненужное свойство деградировать с возрастом. Перепутал-с... :)

Ответить | Правка | Наверх | Cообщить модератору

49. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от нах. (?), 06-Авг-25, 17:38 
"этих" - в отдел девопс!
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

34. "В Proton Authenticator для iOS выявлено оседание секретных к..."  +/
Сообщение от Имя (?), 06-Авг-25, 08:01 
fix: improve log messages
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру