Einloggen
[c] [meta] [fefe]

/fefe/ – Fefes Kommentarfunktion

Antwort erstellen

(≤ 4)



[Zurück]
  • [l] Wenn sich Cisco, Fortinet, Crowdstrike und Ivanti ein ... Effe ## Mod Sat, 02 Nov 2024 00:46:58 GMT Nr. 138936
    fefe trauben2.jpg
    JPG 600×450 29.6k
    Wenn sich Cisco, Fortinet, Crowdstrike und Ivanti ein Rennen liefern, da kann Okta nicht einfach tatenlos herumstehen [0]!1!!

    Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen. Aber ignoriert das mal kurz. Lest mal das Advisory. Das ist so bizarr, dass mir gerade echt die Worte fehlen. Ich zitiere mal:

    >Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security Advisory

    Nein, wirklich!

    >On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by only providing the username with the stored cache key of a previous successful authentication.
    >
    >Note: A precondition for this vulnerability is that the username must be or exceed 52 characters any time a cache key is generated for the user.

    Das klingt jetzt gerade nicht wie ein Buffer Overflow, eher das Gegenteil. Die kleben drei Strings hintereinander, der dritte ist das Passwort. Aber bcrypt hat ein Limit von 56 Bytes [1]. Am Anfang ist die User-ID, die packen sie offenbar als 32-bit-Integer in das bcrypt rein. Bleiben besagte 52 Zeichen, wenn man noch nie von UTF-8 gehört hat. Fucking Amis ey.

    Einmal mit Profis arbeiten!

    [0] https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/
    [1] https://de.wikipedia.org/wiki/Bcrypt#Sicherheit

    https://blog.fefe.de/?ts=99dbb6f2
  • [l] Felix Sat, 02 Nov 2024 09:59:52 GMT Nr. 138943
    Den Usernamen sollte man ja auch gar nicht mithashen.
  • [l] Update Effe ## Mod Sat, 02 Nov 2024 10:17:49 GMT Nr. 138944 
    @@ -16,0 +17,2 @@
    +[b]Update[/b]: Die sind übrigens nicht [i]völlig[/i] unfähig bei Okta. Die Krisenkommunikations-Abteilung ist top notch. Die haben wie beim letzten Mal [2] schön alles zurückgehalten bis Freitag nach Dienstschluss. Schön den Schaden maximieren, und hoffen, dass das am Wochenende verdampft, bis die Leute am Montag andere Dinge zu tun haben.
    +
    @@ -18,0 +21 @@
    +[2] https://blog.fefe.de/?ts=99ffcbe7

  • [l] Felix Sat, 02 Nov 2024 10:28:11 GMT Nr. 138945
    >>138944
    Samstag und Sonntag arbeitet auf der ganzen Welt praktisch niemand. Deswegen gehört der Samstag vermutlich auch zu den Werktagen ...
  • [l] Felix Sat, 02 Nov 2024 10:44:27 GMT Nr. 138948
    Muß denn der Kunde hier überhaupt irgendwie agieren? Das ist doch ein reiner Clowndienst.
  • [l] Felix Sat, 02 Nov 2024 12:23:27 GMT Nr. 138949
    >>138943
    Vielleicht ist das deren Idee von Salzierung.
  • [l] Felix Sun, 03 Nov 2024 21:29:12 GMT Nr. 139095
    >Alleine für den Hostnamen "trust.okta.com" für ihre Security Advisories müsste eigentlich ein Regulator diese Firma zerschlagen.
    Fieso?
  • [l] Felix Tue, 05 Nov 2024 12:35:11 GMT Nr. 139224
    >>139095
    Wegen "trust". So nennt man einen Hostnamen nicht, wenn der Kunde ihm vertrauen soll.
    Gute und erprobte Security-by-Obscurity-Praxis.
    Weiß man doch.
  • [l] Felix Tue, 05 Nov 2024 13:27:35 GMT Nr. 139239
    >>139095
    Die Existenz eines Security Advisorys heißt gerade, dass das Vertrauen unbegründet war.
  • [l] Felix Tue, 05 Nov 2024 13:36:05 GMT Nr. 139242
    https://trust.codeblau.de/
    https://trust.fefe.de/
[Zurück]
[c] [meta] [fefe]
Proudly made without PHP, Java, Perl, MySQL, Postgres, MongoDB and Node.js.
Quellcode