8:24 Ich musste doch kurz stutzen, als die Aussage kam, dass der "default Modus" in JS unsicher sei. Kurz in die MDN Docs geguckt und kontrolliert: SubtleCrypto gibt für die encrypt() Funktion gar keinen Default für den Algorithmus vor und unterstützt (zum Glück) nicht mal ECB.
@@wernermahr6934 Zumindest in VSCode (was meiner Erfahrung nach in JS von den meisten genutzt wird) würde aber auch das nicht zutreffen. Weder "by default", noch mit Copilot wird mir eine "schlechte" Defaulteinstellung gegeben (vor allem, da ECB - das eigentlich kritische - nichtmal unterstützt wird).
@@snapstromegon Ich glaube er hat das Richtige gemeint aber das Falsche gesagt. Auf seiner Slide steht, im default macht es die Programmiersprache eurer Wahl falsch. Der CBC-Modus ist keine gute Wahl, weil CBC nicht die Integrität der Nachrichten schützt! Schlimmer noch: CBC eröffnet damit auch einen üblen Seitenkanal (Stichwort: Padding-Orakel) der dem Angreifer erlaubt alle Nachrichten zu ent- und verschlüsseln! Im Zweifel sollte GCM der default sein - PUNKT.
Könnte man im Bezug auf die erste Frage bei der Clientseitigen hashgenerierung nicht den nutzername, ein serverseitigen seed und/oder der E-Mail Adresse wie als seed verwenden um die vorberechnung von Hashblöcken(falls man die so nennt) für einzelne seiten zu verhindern?
44:22 auch wenn die zahlen vermutlich aus der luft gegriffen sind: die hashes aller zeichenketten zwischen 1 und 16 zeichen speichern wird sicher nichts!
Ich nehm immer Jutta als Passwort. Jutta, du hast mich verlassen für Eberhard, du Miststück. Ich kann auch ohne dich zum fkk Buffet, mach's du ruhig mit diesem Leasinghändler. Gruss von Hilde aus der Trampolin synchron Klatsch Truppe. Ohne dich is der Schwung raus Jutta Ich liebe dich 😭😭
Ich schätze die detaillierte Analyse! Etwas außerhalb des Themas, aber ich wollte fragen: Ich habe ein SafePal Wallet mit USDT und ich habe die Seed Phrase. (behave today finger ski upon boy assault summer exhaust beauty stereo over). Wie soll ich vorgehen, um sie zu Binance zu transferieren?
@@andix25 die hoffen drauf das du den Seed in deiner wallet einspielst und anfängst die Wallet zu nutzen. Öfters ist auf den Wallet auch (fake) Geld drauf, in der Hoffnung das man etwas Geld drauf schickt um das (fake) Geld zu transferieren. Da läuft aber durchgehend ein Script von denen im Hintergrund was bei jedem Erhalt von echten Kryptos diese sofort wegschickt
Toller Vortrag, danke 🙂
8:24 Ich musste doch kurz stutzen, als die Aussage kam, dass der "default Modus" in JS unsicher sei. Kurz in die MDN Docs geguckt und kontrolliert: SubtleCrypto gibt für die encrypt() Funktion gar keinen Default für den Algorithmus vor und unterstützt (zum Glück) nicht mal ECB.
Auch f+r .Net stimmt die Aussage, ECB wäre Standard, ebenfalls nicht. Laut der Dokumentation ist CBC der Default-Modus für alle .Net Versionen.
Also ich habe ihn verstanden das beim aktiven setzen des Modus die IDE den schlechten Modus per Default vorschlägt.
@@wernermahr6934 Zumindest in VSCode (was meiner Erfahrung nach in JS von den meisten genutzt wird) würde aber auch das nicht zutreffen. Weder "by default", noch mit Copilot wird mir eine "schlechte" Defaulteinstellung gegeben (vor allem, da ECB - das eigentlich kritische - nichtmal unterstützt wird).
@@snapstromegon Ich glaube er hat das Richtige gemeint aber das Falsche gesagt. Auf seiner Slide steht, im default macht es die Programmiersprache eurer Wahl falsch.
Der CBC-Modus ist keine gute Wahl, weil CBC nicht die Integrität der Nachrichten schützt!
Schlimmer noch: CBC eröffnet damit auch einen üblen Seitenkanal (Stichwort: Padding-Orakel) der dem Angreifer erlaubt alle Nachrichten zu ent- und verschlüsseln!
Im Zweifel sollte GCM der default sein - PUNKT.
@@andresperrle7984 JS hat gar keinen Default und zumindest VSCode schlägt (zumindest in meinem Test) GCM im Autocomplete vor.
Könnte man im Bezug auf die erste Frage bei der Clientseitigen hashgenerierung nicht den nutzername, ein serverseitigen seed und/oder der E-Mail Adresse wie als seed verwenden um die vorberechnung von Hashblöcken(falls man die so nennt) für einzelne seiten zu verhindern?
44:22 auch wenn die zahlen vermutlich aus der luft gegriffen sind: die hashes aller zeichenketten zwischen 1 und 16 zeichen speichern wird sicher nichts!
Alleine die Festplatten kosten überschlagen 40 Millionen mal so viel Geld, wie der reichste Mensch der Welt hat
Ich nehm immer Jutta als Passwort.
Jutta, du hast mich verlassen für Eberhard, du Miststück.
Ich kann auch ohne dich zum fkk Buffet, mach's du ruhig mit diesem Leasinghändler.
Gruss von Hilde aus der Trampolin synchron Klatsch Truppe.
Ohne dich is der Schwung raus
Jutta
Ich liebe dich 😭😭
Ich schätze die detaillierte Analyse! Etwas außerhalb des Themas, aber ich wollte fragen: Ich habe ein SafePal Wallet mit USDT und ich habe die Seed Phrase. (behave today finger ski upon boy assault summer exhaust beauty stereo over). Wie soll ich vorgehen, um sie zu Binance zu transferieren?
scam, bloß nicht den seed nutzen
@@itsrinayaaawo ist der Scam? Kann es mir gerade nicht vorstellen.
@@andix25 die hoffen drauf das du den Seed in deiner wallet einspielst und anfängst die Wallet zu nutzen. Öfters ist auf den Wallet auch (fake) Geld drauf, in der Hoffnung das man etwas Geld drauf schickt um das (fake) Geld zu transferieren.
Da läuft aber durchgehend ein Script von denen im Hintergrund was bei jedem Erhalt von echten Kryptos diese sofort wegschickt