24 декабря 2023 г. Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Сортировка: за
Активный
11
Авторизации тред. — Перекат из программача /pr/ : https://2ch.hk/pr/res/2035184.html Я думаю, эта тема достойна отдельного треда в криптаче. Добро пожаловать в авторизации тред. Здесь мы рассмотрим, казалось бы, простую задачу - реализацию регистрации-авторизации клиента на сервере. Но рассмотрим мы её, с точки зрения перехвата снифферами данных, передающихся по открытому каналу, а также с точки зрения возможности реализации MITM-атак. Дано: 1. Сервер с базой данных, и таблицей Users внутри. Данные юзеров - попадают в строчки этой таблицы, при их регистрации. Структура таблицы - вариативна, и предлагается здесь. 2. Клиент - юзер, который регистрируется, и который заходит в аккаунт. 3. Алгоритмы работы системы. 3.1. Регистрация. 3.2. Вход с данными. 3.3. Вход по кукам. 3.4. Восстановление доступа. 4. Взломщики: 4.1. Сниффер, перехватывающий данные в открытом канале, в том числе и куки, но не могущий подменять данные. 4.2. Митмщик, который стоит между сервером и клиентом. У него могут быть снифферы, и он может ещё и подменять данные. 4.3. Кулхацкер, взломавший сервер, базу данных внутри него, и имеющий доступ к таблице Users и значениям внутри неё. Задача: Реализовать алгоритмы, чтобы взломщики соснулей. Моё видение решения: 1. Чтобы соснул кулхацкер, надо хранить хэши паролей в базе, а не пароли, а данные хранимые в базе - шифровать. Как шифровать, хз правда, но это интересно. 2. Чтобы соснул сниффер, надо юзать временные куки, которые меняются с каждым перелогином юзера, а также менять их в случае попытки доступа с другого IP/UserAgent. 3. Чтобы соснул митмщик, надо реализовать криптосистему с открытым ключем, и сделать публичный ключ сервера прешаренным, вшить его в исходник скриптов на клиенте, а хэш исходников - опубликовать. Но митмщик, может подделать и хэш, и выкачиваемый исходник - короче пиздос, хз что делать тут. К HTTPS, доверия нет, потому что оно митмается, пик2. Поэтому будем рассматривать, что-нибудь поверх HTTP, то есть работать будем в открытом канале. Митмается также ssh (пик1), Diffie-Hellman Key Exchange (пик3), и RSA (пик4). Поэтому, алсо, это тред о митм-защищённых схемах и алгоритмах обмена ключей, в открытых каналах.
28 февраля 13:04
Активный
41
Интересный ресурс — Сап, Аноны! Хотел обратиться с вопросом к знающим людям. Если тема будет неприемлема, больше не буду. В общем вопрос такой: есть один форум лесной тематики. forums.wood.ru, так вот не могу его спарсить уже целый месяц. Дело в том, что этот ресурс непонятным для меня образом палит парсинг и блокирует доступ к сайту, напрочь. Что делал: пытался забирать Селениумом - палит, пытался обычным реквестом на Пайтон - тоже самое, пытался puppeteer на node.js - безуспешно (ни одной страницы), пытался через Тор, впн, покупку анонимных проксей - все без толку. Они что непобедимые? Даже курл на пэхопэ не берёт. Я в отчаянии, прошу помощи, может знает кто?
28 февраля 13:04
Активный
9
Помогите найти сайт в tor по скриншоту — Антон, нужна помощь. Кто знает что за площадка?
28 февраля 13:04
Активный
8
TideCoin thread! Tidecoin (TDC) был создан по образцу великих — TideCoin thread! Tidecoin (TDC) был создан по образцу великих криптовалют, таких как биткойн и лайткойн. Его главная особенность - пост-квантовая технология шифрования FALCON-512 ( https://csrc.nist.gov/projects/post-quantum-cryptography/round-3-submissions & https://falcon-sign.info ), что означает, что он будет защищен от квантовых компьютеров, которые могут выполнять вычисления в миллиарды раз быстрее, чем современные серверы. Биткойн, в частности, уязвим для таких атак, а это означает, что монеты потеряют ценность, когда такие компьютеры станут обычным явлением. Монета также является F/LOSS ПО, Bы можете проверить все исходные коды на github (например, подтвердить наличие шифрования). ОСНОВНОЙ FAQ: https://te.legra.ph/Tidecoin-04-24 NIST's Post-Quantum security standard Open Source Software Total supply: 21000000 TDC One minute block time, faster payment CPU friendly Pow algorithm, more inclusive Exponential increase halving time: 0.5, 1, 2, 4, ...Years Главный сайт: http://tidecoin.org/ Сайт новый от комьюнити:: https://tidecoin.pqcsf.com/ Bitcointalk: https://bitcointalk.org/index.php?topic=5306694.0 Whitepaper: https://github.com/tidecoin/whitepaper/blob/master/tidecoin.pdf Основной канал: https://t.me/TidecoinTDC Биржа: https://www.tidecoin.exchange/ Кошелек: https://github.com/tidecoin/tidecoin/releases Twitter:https://twitter.com/tidecoin Discord:https://discord.gg/8twPh8hjwU Explorer: http://explorer.tdc.cash/ FAQ: https://te.legra.ph/Tidecoin-04-24 ФОРУМ: https://tidecoin.ru/index.php Актуальные треды в /сс/: https://2ch.hk/cc/res/691475.html https://2ch.hk/cc/res/603769.html
28 февраля 13:04
Активный
13
Сеть HIVE — Я придумал p2p-аналог интернетов, который относительно не трудно реализовать. Сеть не нужно настраивать (zeroconf), и является юзерфрендли. > Зачем? На криптаче такие глупые вопросы не задают. > Чем лучше аналогов? У каждой скрытосети свои плюсы и минусы. Эта сеть - просто еще одна альтернатива. Предлагаю обсудить проект, и может присоединиться к его разработке. Начнем рассматривать с самого высокого уровня сети - обычного пользователя сети (не программиста): 1. Юзер скачивает пакет. 2. Устанавливает. 3. Происходит магия. 4. Заходит в браузер. 5. Набирает hive:410/test.p2p 6. Заходит на сайт. Когда заходит просто на hive:410 - открывает домашнюю страницу проекта с менеджером файлов и прочими настройками и интересностями. Опускаемся ниже : уровень данных. Как вообще выглядит Hive? Представьте себе кучу файлов имеющих фактический адрес (хеш). К любому файлу обраться по адресу hive:410/${hash}. Но для удобства использования сети, мы можем называть файлы человекочитаемыми именами. Делается это с помощью HNS (Hive NameSpace) - распределенной хештаблицы. К примеру, программист создал html-файл, и создал в HNS запись что к данному файлу можно обратиться по "example.hive" и подписал запись. Заметили? Здесь нет концепции "сайта" как некой папки с файлами. Все файлы сети находятся в куче и нет разделения между сайтами. Программист создает папку с проектом и специальная утилита загружает все файлы проекта в "кучу" подписывая в HNS файлы как {"test.p2p/js/main.js": "==Hxkdhiei6473...", к примеру. Обращаться можно как публичному имени, так и по хешу. Хеш удобен в случае медиаконтента, публичное имя удобно в случае рабочих файлов проекта (скриптов, баз данных и тд). Хеш публичного имени можно заменить. Само API улия убийственно простое: 1. GET hive:410/${hash|pubname} - запросить файл по имени или хешу. 2. POST hive:410 - отправить файл в кучу. 3. PUT hive:410/${pubname} - обновить запись в HNS (доказав, что владелец записи). Либо создать запись. 4. DELETE hive:410/${hash|pubname} - в случае с публичным именем - удаляет запись. В случае хеша - удаляет файл в локальной куче пользователя. Есть зарезервированные публичные имена для локальных DB юзера. Еще ниже, уровень пиров: В Hive используется IPv6. Понятное дело, пользователей с IPv6 по пальцам пересчитать, потому используем костыль Miredo/Teredo, идущий как зависимость пакета. Miredo не требует к конфигурации, оно просто устанавливается вместе с пакетом и дает тебе IPv6 без какой-либо задней мысли. На это уровне так же есть DHT включающий все пиры в сети. Как получить Peer DHT если ты в первый раз зашел в сеть? Через публичные пиры, работающие на постоянной основе. Они либо будут прописаны в конфиге изначально, либо надо будет искать на Github список публичных пиров и прописывать их в конфиге ручками, как это надо делать с Yggdrasil. hive:410 как вы уже поняли представляет собой локальный http-сервер. Когда клиент запустился, он пытается обновить все свои DHT. Когда юзер пытается получить файл, сервер смотрит в DHT и ищет там у кого можно этот файл взять, и обращается к ним. Файл скачивается, и юзер начинает раздавать его другим. Он отправляет всем другим юзерам весть о том, что этот файл можно найти у него. Когда юзер постит файл он отправляет другим пирам весть о том, что он добавил новый файл и то, что этот файл можно взять у него. Когда юзер обновляет запись в HNS он подписывает изменения и вещает об этом. Другие пользователи проверяют изменения и в случае мутной хуйни отклоняют изменения в локальной NHS. Тоже самое происходит при удалении записи, правда, запись не пропадает бесследно, вместо нее появляется запись с тем же адресом, но вместо хеша - сообщение о том, что запись удалена подпись владельца(ов) записи. Удаленную запись можно будет обновить с новым хешем позже и уже это уже сможет сделать другой владелец, однако информация о предыдущем владельце остается. И так немного по вопросам к реализации непосредственно опытным криптачерам: Стоит ли писать сервер сразу на bash? Меньше зависимостей будет. Правда, теряется кроссплатформенность. Но над ней в принципе придется поработать в любом случае. Как лучше всего поддвержать и проверять на законность тех или иных изменений в HNS? Как лучше организовать броадкаст по сети? Не будешь же ко всем пирам (их и тысячи могут быть) в сети подключаться. Предлагаю распространять "волной": передаешь запись трем пирам, каждый из них перепадает еще трем и так по всей сети. Как лучше всего получать новые DHT при запуске клиента (особенно при первом)? Не доверять же первому встречному пиру. Как лучше передавать файлы? Искать у случайного владельца файла и качать целиком, или скачивать у всех но порциями (как в торрентах)? мимо ламер
28 февраля 13:04
Активный
3
SekiraBrowser [прототип] /sekira/ — А как насчет такого варианта? 1 этап: (уже работает) крипто-вставки в посты, комменты и т.д. 2 этапом: застеганографить их под обычный текст (только его будет много, прийдется юзать лонгборды видимо, если применимо к VK) P.S. Собрано на коленке для простоты на движке Хромиум (что само по себе уже черезчур толсто, но для прототипа сойдет)
28 февраля 13:04
Активный
43
Телеграм — Уважаемые криптошизики, как можно сдеанонить человека через телегу? Известен только ник.
28 февраля 13:04
Активный
88
HackerSpace — Здравствуйте! Ищу "годную тусу" людей увлекающимися хакерством || КБ || СИ || Кибер криминалистикой. Сам скрипткиди, но постоянно копаю какую-либо инфу. Не тупой (вроде), но и не "тру олдскул хакер".
28 февраля 13:04
Активный
55
Сап, двач. Думал накатить gentoo hardened со всеми минимальными — Сап, двач. Думал накатить gentoo hardened со всеми минимальными use флагами, которые нужны только мне и не более того, вручную собрать и скомпилировать ядро и наслаждаться максимальной степенью байтоебства безопасности и швабодки, может быть отдельную тачку под это дело подогнать даже с libre boot или core boot, ну т.е. собирать ёба пекарни уровня crypt, чтобы быдло текло, а тёлки боялись, как хобби, чтобы раз в год выйти с ноутбуком в свет, прогуляться с ним в элитный ресторан у ленинской библиотеки (закусочная НИИ). Но меня всегда останавливало время компиляции этого всео, это долго же очень, я не хочу собирать лису несколько суток, к примеру. Поэтому придумал такую штуку, как концепт, но пока не знаю, как ее можно было бы реализовать одному и быстро (никак, наверное) - Linux Gateway Basic Tools (LGBT). В общем суть этого такая, что ты отправляешь исходники из своего portage, со своими наборами юз флагов, а на удаленном сервере будет поднята сеть распределенных вычислений, и участники сети могут помогать в компилировании и получать за это уголовный срок токены или очки, потом эти токены или очки можно использовать для компиляции своего кода, очки эти также можно будет купить или дарить. Т.е. своего рода загончик для gentoo линукса юзеров и только, без быдла, в общем, для элиты в свитере растянутом. Что думаете по этому поводу? Из portage отправили исходники и юз флаги, скомпилировли быстрее в распределенных вычислениях, чем у себя на машине (ведь в сети будет 666 человек со всего мира), получили назад бинарник (подписанный, зашифрованный, чтобы не подменили по пути, по хэшам с сервера сверенный, PGP там какое-нибудь, вот это вот всё). Итак, есть ли тут красивые девушки модельной внешности без личной жизни, которые примут участие в разработке в моей ванной заинтересованные аноны, чтобы вместе написать это как open source на гитхаб, получить всемирную славу и известность в баксах и наконец-то уехать из этой страны?
28 февраля 13:04
Активный
34
Как полностью удалиться из втентаклей? — Сап, криптач. Не знаю, действительно ли это подходящий раздел для подобных вопросов, ну да хер с ним. В общем, я как-то по глупости завёл себе аккаунт во впараше и активно выкладывал туда информацию о себе. Конечно же, до добра такое щедрое распространение данных не довело, но это уже другая история. Самое сочное (то есть, фото и записи на стене) я потёр года два так назад, но вот комментарии и куча контента в разделе "понравившиеся" так и осталась. Я, честно говоря, уже заебался всё это добро чистить, потому что это мейлсрушное чудо постоянно требует ввода капчи, а иногда всё содержимое "понравившихся" просто берёт и пропадает, и раздел может числиться пустым месяцами (хотя на самом деле данные там есть, они просто не отображаются), что создаёт дополнительные трудности. Я неоднократно писал в поддержку и просил удалить мой аккаунт вместе со всей прилагающейся ебаторией, на что мне отвечали, мол "дружок, хуй соси, губой тряси, делать мы этого не будем, сам со своими данными ебись". Так вот, а теперь вопрос – можно ли как-то расшевелить этих пидорасов из поддержки? Я слыхал, что гражданам ЕС подобные конторы обязаны удалять аккаунт по первому требованию, так ли это? Можно ли тогда притвориться гражданином ЕС и пригрозить им анальной карой, или так просто этого сделать не получится и они потребуют документы? Заранее спасибо за ответы.
28 февраля 13:04
Активный
30
Слишком умный домофон — Криптач, в моем доме хотят заменить обычный домофон на телекр... т. е. на умный домофон с распознаванием лиц и голосовым помощником. Сначала забросали тонной рекламы. Справедливости ради, пару раз кто-то закинул в ящики бумажки с доводами против. Тоже решил подключиться и расклеить листовки. Только распечатал и... И фиг там. Как раз вчера местные "активисты" прошлись по дому и собрали подписи за установку. Практически на все сто уверен, что большинство подписалось, особенно после такой информационной атаки и криков "ЭтО Жи БизАпАСНостЬ". Кто-нибудь сталкивался с таким? Что можно сейчас сделать? Собрать какие-то подписи в свою очередь? Или поздно уже? Я без понятия, как действовать. Любая помощь приветствуется
28 февраля 13:04
Активный
1
Город 404 — Теперь пускают на свои сервера только за биткойны? Любой клиент jabber пишет что нужна регистрация на сайте, но при нажатии на кнопку ничего не происходит. P.S.Я про 404.city
28 февраля 13:04
Активный
27
Может вы замечали, что на неделе ваши телефоны — Может вы замечали, что на неделе ваши телефоны могли подтормаживать или просили обновление системы? Оказывается на все смартфоны с системой Android и iOS были скрытно установлены COVID-трекеры. Чтобы проверить, введите "covid" в поиске настроек.
28 февраля 13:04
Активный
40
Отношение к каналу на YouTube. — Как вы относитесь к каналу "Черный треугольник"?
28 февраля 13:04
Активный
15
Как стать анонимным? Что лучше использовать, — Как стать анонимным? Что лучше использовать, прокси или впн. Какой впн не сливает данные? Почта onionmail хорошая? Смс активейт и прочие сервисы — стоит ли их использовать? Насколько будет анонимно, если я накачу голый арч, на него виртуалку, а на виртуалку арч, обмазываясь проксями/впнами?
28 февраля 13:04
Активный
33
Чипирование и 5G Как бороться с этим? Нужно разработать глушитель чипов и 5ж. На каких частотах будут работать чипы? — Чипирование и 5G Как бороться с этим? Нужно разработать глушитель чипов и 5ж. На каких частотах будут работать чипы?
28 февраля 13:04
Активный
474
ИТМОКВЕСТ — ИТМОБЛЯДИ, ПЕРЕКАТНЫЙ Вчера, в ДС-2 появляются билборды с загадочным сообщением "Одинокий фотон без энтропии грустит сингулярность". Группа анонов уже узнала, что это рекламная компания ИТМО, но желание решить эту АРГ так и не пропало. Код ведёт на youtube https://www.youtube.com/watch?v=zyxgllAcNq0[РАСКРЫТЬ] А youtube в свою очередь ведёт на сайт квеста. https://urlookingforthispage.ru Шаг1 - ответ в исходном коде (либо пикрелейтед №2, для ленивых). Шаг 2 - (https://urlookingforthispage.ru/tynb/) удалось решить с помощью отсылки на мистера робота(mrrobots1s6m37s1). А заменив и скомпилировав код на котлине получили QR-код на пике №3. Шаг 3 - [ДАННЫЕ УДАЛЕНЫ] Шаг 4 - листовки удаляются с помощью Инспектора, а код "BeO0H0OB" переводится в набор цифр 4801085, через таблицу Менделеева. Сейчас же остается дождаться таймера на сайте(13:00-14:00), чтобы продвинутся дальше. Шаг 5...N - необходимо найти решение. Тред пикабублядей: https://pikabu.ru/story/odinochnyiy_foton_bez_yentropii_grustitsingulyarnost_9260544#comments Ссылка на тред в /b/ в архиваче: https://arhivach.ng/thread/804829/ Так же некоторые аноны предлагают запилить ответный квест, что также можно обсудить в этом треде.
28 февраля 13:04
Активный
66
ЛИНУКС ТРЕД — Можно ли ставить дебиан? Если нет, то какие дистры безопасны и при этом стабильны в работе без отваливающихся модулей и краша системы после обновления? Чем на линуксе обмазываться что бы защитить систему? Какие виртуальные машины можно использовать? Одноразовые дистры вроде тэилса мимо.
28 февраля 13:04
Активный
36
**Хранение данных ** — обрейший день всем. Есть у меня ноут win10x64 Home лицензия. Учетная запись майкрософт которая привязана к gmail. Есть у меня на ноуте важные файлы которые надо скрыть. В данный момент мои файлы скрыты в 7zip (содержимое тоже) по методу aes 256 . Пароль 10 цифр и три буквы. Нет особых знаков и больших букв. Сама учетная запись Виндовс стоит на пороле PIN 4-е цифры. Я мало знаю про bitlocker, но сегодня узнал что он не идет на мою версию виндовс home edition. Так вот вопрос - надежно ли я храню свои файлы в 7zip? какого вероятность их взломать? Легко ли обходится защита учетной записи из пин пороля 4цифры? В чем битлокер лучше? Моя почта с доступом к уч записи майкрософт это самое уязвимое место, откуда можно получить данные с моего жесткого диска? Какой самый надежный способ защиты данных при условии, что меня не будут взламывать гениальные хакеры?
28 февраля 13:04
Активный
8
Как сделать телефон максимально безопасным устройством? Главная причина почему это важно - мобильнос — Как сделать телефон максимально безопасным устройством? Главная причина почему это важно - мобильность. С телефона можно использовать i2p, есть мессенджеры типо briar, есть shadowsocks, можно шифровать данные. Но как я понимаю, главный прокол андроида - Гугл. Как избавиться от их сервисов, или снять слежку? Есть возможность полностью перейти на другую открытую ос? Рутирование сможет помочь?
28 февраля 13:04
Активный
22
cock li thread. Делимся инвайтами в лучший почтопровайдер. Фейкопочта: [email protected] /cockli/ — cock li thread. Делимся инвайтами в лучший почтопровайдер. Фейкопочта: [email protected]
28 февраля 13:04
Активный
5
Хочу научиться создавать ransomware вирусы-шифровальщики. С чего следует начать? Как вкатиться? — Хочу научиться создавать ransomware вирусы-шифровальщики. С чего следует начать? Как вкатиться?
28 февраля 13:04
Активный
36
Правда у всех на виду /paranoia/ — Давайте вскроем тему?
28 февраля 13:04
Активный
25
Каким коммерческим VPN все таки пользоваться ? — Каким коммерческим VPN все таки пользоваться ?
28 февраля 13:04
Активный
18
Нормально нет? — Сап крептач. Есть нужда наладить надежный и относительно простой канал связи. Телеге с ее "секретными чатами" доверия нет. Собеседника учить Jabber с PGP или OTR тоже нет особого желания. Другие альтернативы не вижу. Пришла в голову идея. А что если сгенерить VeraCrypt - контейнер весом 512 кб и отправлять его через месседжер Session? (не нужен номер телефона, есть клиент под пеку и трубу). Пароль от контейнера уже известен и мне и собеседнику, остается только намекнуть на него и он все поймет. Как считаете ананасы, нормальный вариант? Не спрашивайте блять зачем мне это надо. Просто скажите, майор прочитает или нет.
28 февраля 13:04


жалоба / abuse: arhivach@airmail.cc

Отзывы и предложения