NNF

Guia Foca é atualizado após 10 anos

pekman

O Guia Foca (1), projeto voltado para a documentação técnica para sistemas operacionais GNU/Linux foi atualizado, após 10 anos sem receber revisões importantes.

Confira algumas novidades da nova fase do Guia Foca:

Confira o anúncio oficial do Guia Foca 2020 (2) para acessar o log completo das mudanças.

Para obter o guia, acesse a página de Download (3) do projeto.

---

1: https://guiafoca.org/
2: https://guiafoca.org/?cat=60
3: https://guiafoca.org/?page_id=51

:: @pekman adicionado em 11 Aug ’20 · 05:58

Um estudo rico em dados e extremamente pedagógico aponta diversas falhas que podem compromenter a segurança e privacidade de usuários do protocolo #matrix e serviços como o #riot.

O texto (em inglês) apresenta os métodos usados na análise, sendo possível reproduzir todos os passos percorrídos, por qualquer usuário que queira se aprofundar no assunto.

Foram indentificados problemas graves como:
Tradução de parte do texto Escreveu:

[...] Ao registrar-se sem um e-mail, somos solicitados com um sinal de Warning! e o seguinte texto:

Se você não especificar um endereço de e-mail, você não poderá redefinir sua senha. Você tem certeza?

Neste ponto, se tivermos que cancelar e digitar um endereço de e-mail com medo de ser bloqueado da nossa conta, seremos solicitados a validá-lo usando um token/link enviado por e-mail. Riot não dá qualquer tipo de explicação de que o servidor de identidade foi contactado para validar o e-mail, neste caso vector.im. O servidor de Identidade terá, portanto, as seguintes informações após a verificação bem-sucedida do e-mail: O endereço de e-mail fornecido.

Ao submeter o token através de pedido HTTP diretamente ao servidor de Identidade:

O endereço IP do utilizador.

Informações do navegador/app via cabeçalho HTTP User-Agent.

Qualquer outra informação enviada por padrão pelos navegadores.

A Matrix ID do usuário, geralmente incluindo seu nome de usuário, também é tornada pública sem qualquer autenticação sob o endpoint de pesquisa em https://vector.im

Exemplo: Se você se registrar com o e-mail dummy@example.org, você pode ir para a seguinte URL e ver a resposta JSON incluindo sua ID Matrix:

https://vector.im/_matrix/identity/api/v1/lookup?medium=email&address=dummy@example.org

[...]

Append

(Leave this as-is, it’s a trap!)

Only the original author or a moderator can append to this post.

Pro tip: Use markup to add links, quotes and more.

Your friendly neighbourhood moderators: pekman