Jump to content
DarkyAngel

[RST] PoS

Recommended Posts

Guest Kovalski
Posted

^ Multumim, rugam si restul userilor sa ne ajute cu promovarea acestui proiect... momentan avem in jur de 200 de useri pe platforma ;)

Posted (edited)

ne-am gândit ?i lucr?m la implementarea unor noi func?ii în PoS, ?i anume:

- fi?ierele fiec?rui utilizator sunt criptate în parte, pe baza parolei NECRIPTATE, care o introduce la LOGIN, ?i care NU SE SALVEAZA NICIUNDE, decât în contul respective persoane, ca md5(parola.md5(parola.md5(parola??))) . astfel, nici noi, nici oricine ar lua acces la fi?ierele noastre nu v? va putea decripta fi?ierele, asigurându-v? pragul maxim de privacy.

- "wipe disk" <-> la dorinta voastra din motive cunoscute de voi, ve?i putea trimite un mail la wipe@p-o-s.org cu user : parola , si un script automat va sterge definitiv contul vostru si continutul lui.

Edited by ps-axl
Posted (edited)
ne-am gândit ?i lucr?m la implementarea unor noi func?ii în PoS, ?i anume:

- fi?ierele fiec?rui utilizator sunt criptate în parte, pe baza parolei NECRIPTATE, care o introduce la LOGIN, ?i care NU SE SALVEAZA NICIUNDE, decât în contul respective persoane, ca md5(parola.md5(parola.md5(parola??))) . astfel, nici noi, nici oricine ar lua acces la fi?ierele noastre nu v? va putea decripta fi?ierele, asigurându-v? pragul maxim de privacy.

- "wipe disk" <-> la dorinta voastra din motive cunoscute de voi, ve?i putea trimite un mail la wipe@p-o-s.org cu user : parola , si un script automat va sterge definitiv contul vostru si continutul lui.

Cine dracu lucreaza cu date sensibile pe asa ceva?:))

Edited by ps-axl
Guest Kovalski
Posted

de ce nu? atunci lucreaza cu ele la tine pe hard ;)

dar totusi da-mi un motiv de ce nu ai lucra cu date sensibile pe asa ceva.

Posted

Nu exista niciun motiv pentru care sa nu se lucreze cu date sensibile pe PoS.

Nu se retin log-uri, navigarea in browserul PoS se face prin serverul de proxy anonim al PoS ce nu retine log-uri. Se va seta conexiune SSL cat de curand. Eventual si alte metode de securitate a datelor utilizatorilor.

Guest Kovalski
Posted

in concluzie mr qbert e mai safe decat propriul tau pc

cand fisierele vor fi criptate pe baza la parola userului inclusiv daca cineva sparge serverul si etc tot o sa o suga rau pentru ca nu are cum sa vada fisierele userilor din moment ce fisierele se vor decripta doar pe baza parolei userului respectiv.

in schimb pc-ul tau nu e la fel de safe ca si pos, tinand cont ca toate fisierele sunt pe hardul tau plain.

Posted (edited)

Nu as lucra pentru ca intervin multi factori ce mi-a putea demasca eventualele actiuni nasoale.Nu am nici o garantie ca atunci cand vor veni baietii cu insigne tu imi vei proteja datele,si da,as prefera sa mi le tin pe hard,decat "md5-uite" prin locuri straine.

edit:Cum ai de gand sa decriptezi fisierele daca le faci md5?

Edited by qbert
Guest Kovalski
Posted (edited)

^ nu a zis nimeni ca fisierele o sa fie criptate md5, parolele voastre sunt in md5

fisierele vor fi criptate pe baza parolei voastre

adica eu ca sa iti decriptez fisierele ar trebui sa:

1 sa iti decriptez md5-ul si sa iti aflu parola

2 cu acea parola sa decriptez fisierele tale

Edited by ps-axl
Posted
^ nu a zis nimeni ca fisierele p sa fie criptate md5, parolele voastre sunt in md5

fisierele vor fi criptate pe baza parolei voastre

adica eu ca sa iti decriptez fisierele ar trebui sa:

1 sa iti decriptez md5-ul si sa iti aflu parola

2 cu acea parola sa decriptez fisierele tale

AAaand that is safe? MD5 nu mai e o problema de cand exista supercomputere de inchiriat si placi CUDA.

Guest Kovalski
Posted

si cine naiba o sa stea sa faca bruteforce la (md5(parola.md5(parola.md5(parola??))) ?

Guest Kovalski
Posted (edited)

^ da stiu despre problema o sa incercam sa o rezolvam.

Am setat ieri un ssl

deci acum puteti accesa siteul safe prin https

(pe https se misca un pic cam greu)

Edited by ps-axl
Posted
Nu se retin nici un fel de loguri sau ip-uri, absolut orice sesiune este anonima iar toate fisierele din conturile dumneavoastra sunt private si accesibile doar dumneavoastra.

Si daca folosesc browser-ul built-in pe post de proxy ca sa destructurez organizatii guvernamentale, atunci ce se va intampla?

Guest Kovalski
Posted

^ atunci inseamna ca ceea ce vei face va fi pe propria ta raspundere, am sa pregatesc un terms and conditions si un disclaimer bun pentru treburile astea.

Noi va oferim un serviciu prin acea platforma nu suntem in nici un fel responsabili pentru ceea ce faceti voi.

O puteti folosi ca sa ascultati muzica sa vizualizati filme sa jucati jocuri sa stai pe chat sau sa faceti magarii, lucrurile astea depind de voi si le faceti pe raspunderea voastra.

Posted

Din cate am citit nu scrie nicaieri , deci intreb :

1. Cate fisiere poti uploada pe el ?

2. Fisierele .exe sunt compatibile cu PoS ? Daca da , le pot rula ?

3. Contul VIP are si alte beneficii inafara de a vedea fisierele celorlalti utilizatori VIP ?

4. "Chatul poate fi accesat doar din platforma PoS" - Inca se lucreaza ?

5. Fisierele incarcate de utilizatori sunt scanate sau am sansa sa iau virusi daca descarc ce nu este al meu ?

6. FBI-ul daca vrea sa te lege bine te toarna daca esti retardat si iti salvezi parola cu "remember password "sau daca uiti sa stergi prajiturelele. Pe viitor se poate implementa un sistem de securitate prin care doar printr-un cod separat de parola sa poti accesa contul ? [ if i'm wrong , forgot this ]

Posted

1. Nu ai o limita de fisiere pe care le poti urca pe platforma.

2. Nu poti rula fisiere executabile pe pOS.

3. Momentan contul VIP beneficiaza de acces la directorul public VIP. User custom pe chat. Si va fi implementat curand pentru utilizatorii VIP, acces la un set de unelte, scannere, gen SQLMap, w3af, metasploit, whatweb, jtr, s.a.m.d.

4. Chat-ul este functional si da, este accesibil numai din interiorul platformei.

5. Fisierele urcate nu sunt scanate insa nu pot executa coduri malitioase inautrul sau in afara platformei. A fost discutata o solutie prin care fisierele sa fie scanate in timpul upload-ului dar a fost refuzata pe motivul ca sunt utilizatori ce vor sa urce Cryptere, si tot felul de programe. Nu ai motive sa iti faci astfel de griji.

6. Parolele sunt bine criptate. Va fi facut un ToS si Privacy Policy in care vom explica mai pe larg ce si cum despre lucruri de genul.

Posted (edited)
^ nu a zis nimeni ca fisierele p sa fie criptate md5, parolele voastre sunt in md5

fisierele vor fi criptate pe baza parolei voastre

adica eu ca sa iti decriptez fisierele ar trebui sa:

1 sa iti decriptez md5-ul si sa iti aflu parola

2 cu acea parola sa decriptez fisierele tale

si cine naiba o sa stea sa faca bruteforce la (md5(parola.md5(parola.md5(parola??))) ?

Deci, sa inteleg ca sistemul functioneaza asa, parolele utilizatorilor sunt retinute sub forma de hash in urma acestei tehnici:

md5(parola.md5(parola.md5(parola??))

Iar fisierele sunt criptate in functie de parola.

Intrebarea mea este: cum veti putea decripta fisierele, daca parola este retinuta sub forma de hash md5? O veti baga in prajiturele sau in sesiuni dupa logare?

Edited by BogdanNBV
Posted
Deci, sa inteleg ca sistemul functioneaza asa, parolele utilizatorilor sunt retinute sub forma de hash in urma acestei tehnici:

md5(parola.md5(parola.md5(parola??))

Iar fisierele sunt criptate in functie de parola.

Intrebarea mea este: cum veti putea decripta fisierele, daca parola este retinuta sub forma de hash md5? O veti baga in prajiturele sau in sesiuni dupa logare?

S`a inteles eronat, optiunea Crypt, va crypta fisierul intr`un algoritm ales din fereastra de optiuni, unde va fi nevoie sa specifici o parola(key). Pentru a decrypta la loc fisierul, este nevoie de acel key(parola). Odata introdus gresit key-ul, fisierului va fi compromis in timpul decryptarii. Momentan merge numai RC4, iar in cursul zilei de azi urmeaza sa se implementeze si restul.

Posted

Nu s-a inteles eronat, aia s-a spus.

Totusi, cum veti face ca parola bruta? In prajiturele nu e sigur, si nici in sesiuni daca este compromis serverul pe care este tinut acest POS :) sau la fiecare deschidere a unui fisier va fi ceruta parola?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...