Ja przed zdalnym z kolegami odkryłem teamsa i z kolegami sobie tam gadaliśmy jak graliśmy. Teraz dyrektorka kazała nam usunąć ten zespół. A jeden z kolegów nie może mieć discorda.
@miesny_jez: moja nauczycielka historii z podstawówki mówiła ,że przez discorda kradną numery kart kredytowych XD. Nie wiem skąd ona to wzięła bo caly internet przeszukałem
@Mafelusz: Tutaj po części ma rację. Wystarczy prosty token stealer napisany w pythonie i ma się token użytkownika dzięki któremu można kupować nitro gifty przez jego kartę jeśli ma podpiętą. Nawet nie trzeba znać do tego jego hasła
@PolandBOX: podobnie jak z jakimkolwiek innym kontem, nawet z samego banku, tylko sęk w tym że najpierw ktoś musi ten skrypt uruchomić na swoim komputerze, więc to nie wina discorda
@tomek123321: Właśnie nie możesz pobrać tokenu banku. To jest niewykonalne, bo bank nie loguje się przez token, a discord tak i przechowuje go w plikach. I tak, to jest ich wina bo tego tokenu nie wykradniesz z większości innych stron w przeciwieństwie do Discorda.
@tomek123321: mieliśmy lelcje na zoomie. Pani zachwalała go jaki on jest zajebiście bezpieczny. Wystarczyło przeszukać google z 2 minuty i znalazłem artykuł w którym FBI ostrzegało przed zoomem. J...NE FBI
@tomek123321: Ah no tak. Zapomniałem że tutaj większość nie zna się na podstawach programowania i nie pojmie że Discord nie powinien trzymać tokenu logowania zwyczajnie w plikach bez żadnego kodownaia i że da się go wykraść nawet kiedy 'ofiara' niczego nie pobierze na komputer... Poza tym wystarczyłoby wymaganie ponownego wpisania hasła przy zakupie czegoś z podpiętej karty ;)
@PolandBOX: Tak, banki zwykle nie przechowują danych logowania jako jeden token, ale istnieje takie coś jak session hijacking panie programista. Jak już uruchomisz jakiś nieznany program na swoim komputerze to będzie rozpie.... i tyle, nawet można keyloggera zostawić i też będziesz miał dane do konta w banku/discorda/jeja.pl. Więc fakt że token discorda się nie zmienia ułatwia sprawę komuś kto chce ci go wykraść, ale koniec końców to nie wina discorda że pobierasz randomowe programy bez zastanowienia. Problem by był gdyby dało się wykraść token powiedzmy poprzez xss, ale tak nie ma (a przynajmniej nie publicznie)
@tomek123321: Session hijacking na autoryzację zabezpieczoną 2fa? Nie zabłysnęłeś tym :p
Używam Opensusa więc mi keyloggery etc nie grożą. Tylko czego nie rozumiesz w tym że żeby dostać token discorda nie trzeba nic pobrać? Noo i jeszcze dodajmy to że w tym wypadku w discordzie nawet 2fa nie pomaga, nie przychodzi email o nieautoryzowanym logowaniu, brak wymogu ponownej utoryzacji przy wykonywaniu zakupu, a mimo tego ty i tak będziesz wypowiadał się na ten temat broniąc Discorda ¯\_(ツ)_/¯
@PolandBOX: Nie wiem czy wiesz ale 2fa nic ci nie da, nawet w banku, na tym to polega właśnie... możesz się nawet logować na odcisk palca a i tak po zalogowaniu dostajesz jeden token sesji który wystarczy przechwycić i cała autoryzacja wali się jak domek z kart, inaczej byś musiał co sekunde wpisywać hasło. Oczywiście strony biorące to na poważnie nie są głupie i obserwują podejrzane zachowania i wymagają ponownej autoryzacji, discord rzeczewiście ma to gdzieś i token się chyba nigdy nie zmienia, lecz to i tak nie zmiena faktu że nieważne jak bardzo się bedziesz starał, bez niepublicznych exploitów na stronie discorda nie ukradniesz tokena z ciasteczek bez zmuszenia kogoś do uruchomienia skryptu/programu, chroni cię przed tym same origin policy.
Zaloguj się
Komentarze
Odśwież19 listopada 2020, 23:35
a WIN+SHIFT+S?
Odpisz
19 listopada 2020, 08:09
Ja przed zdalnym z kolegami odkryłem teamsa i z kolegami sobie tam gadaliśmy jak graliśmy. Teraz dyrektorka kazała nam usunąć ten zespół. A jeden z kolegów nie może mieć discorda.
Odpisz
19 listopada 2020, 08:19
@miesny_jez: dyrektorka nie ma nic do gadania, macie własne konta to róbcie co chcecie
Odpisz
19 listopada 2020, 08:23
@miesny_jez: ale wredny dyro
Odpisz
19 listopada 2020, 08:32
@miesny_jez: czemu nie moze miec dsc?
Odpisz
19 listopada 2020, 08:41
@miesny_jez: moja nauczycielka historii z podstawówki mówiła ,że przez discorda kradną numery kart kredytowych XD. Nie wiem skąd ona to wzięła bo caly internet przeszukałem
Odpisz
19 listopada 2020, 08:43
@miesny_jez: a zresztą nauczyciel nie ma prawa mówić uczniowi co może a czego nie może robić we SWOIM własnym domu
Odpisz
19 listopada 2020, 08:55
@Mafelusz: Tutaj po części ma rację. Wystarczy prosty token stealer napisany w pythonie i ma się token użytkownika dzięki któremu można kupować nitro gifty przez jego kartę jeśli ma podpiętą. Nawet nie trzeba znać do tego jego hasła
Odpisz
19 listopada 2020, 09:47
@PolandBOX: podobnie jak z jakimkolwiek innym kontem, nawet z samego banku, tylko sęk w tym że najpierw ktoś musi ten skrypt uruchomić na swoim komputerze, więc to nie wina discorda
Odpisz
Edytowano - 19 listopada 2020, 09:49
@tomek123321: Właśnie nie możesz pobrać tokenu banku. To jest niewykonalne, bo bank nie loguje się przez token, a discord tak i przechowuje go w plikach. I tak, to jest ich wina bo tego tokenu nie wykradniesz z większości innych stron w przeciwieństwie do Discorda.
Odpisz
19 listopada 2020, 09:52
@tomek123321: mieliśmy lelcje na zoomie. Pani zachwalała go jaki on jest zajebiście bezpieczny. Wystarczyło przeszukać google z 2 minuty i znalazłem artykuł w którym FBI ostrzegało przed zoomem. J...NE FBI
Odpisz
19 listopada 2020, 09:55
@Mafelusz: co ty, nauczyciel wie lepiej
Odpisz
Edytowano - 19 listopada 2020, 09:55
@tomek123321: Ah no tak. Zapomniałem że tutaj większość nie zna się na podstawach programowania i nie pojmie że Discord nie powinien trzymać tokenu logowania zwyczajnie w plikach bez żadnego kodownaia i że da się go wykraść nawet kiedy 'ofiara' niczego nie pobierze na komputer... Poza tym wystarczyłoby wymaganie ponownego wpisania hasła przy zakupie czegoś z podpiętej karty ;)
Odpisz
19 listopada 2020, 10:02
@PolandBOX: powiedzmy sobie szczerze. Dobry haker bylby w stanie shakowac każda aplikacje jakby chciał
Odpisz
19 listopada 2020, 10:14
@Saaaaasuke: Matka mu nie pozwala
Odpisz
Edytowano - 19 listopada 2020, 10:37
@PolandBOX: Tak, banki zwykle nie przechowują danych logowania jako jeden token, ale istnieje takie coś jak session hijacking panie programista. Jak już uruchomisz jakiś nieznany program na swoim komputerze to będzie rozpie.... i tyle, nawet można keyloggera zostawić i też będziesz miał dane do konta w banku/discorda/jeja.pl. Więc fakt że token discorda się nie zmienia ułatwia sprawę komuś kto chce ci go wykraść, ale koniec końców to nie wina discorda że pobierasz randomowe programy bez zastanowienia. Problem by był gdyby dało się wykraść token powiedzmy poprzez xss, ale tak nie ma (a przynajmniej nie publicznie)
Odpisz
Edytowano - 19 listopada 2020, 10:49
@tomek123321: Session hijacking na autoryzację zabezpieczoną 2fa? Nie zabłysnęłeś tym :p
Używam Opensusa więc mi keyloggery etc nie grożą. Tylko czego nie rozumiesz w tym że żeby dostać token discorda nie trzeba nic pobrać? Noo i jeszcze dodajmy to że w tym wypadku w discordzie nawet 2fa nie pomaga, nie przychodzi email o nieautoryzowanym logowaniu, brak wymogu ponownej utoryzacji przy wykonywaniu zakupu, a mimo tego ty i tak będziesz wypowiadał się na ten temat broniąc Discorda ¯\_(ツ)_/¯
Odpisz
19 listopada 2020, 15:55
@PolandBOX: Nie wiem czy wiesz ale 2fa nic ci nie da, nawet w banku, na tym to polega właśnie... możesz się nawet logować na odcisk palca a i tak po zalogowaniu dostajesz jeden token sesji który wystarczy przechwycić i cała autoryzacja wali się jak domek z kart, inaczej byś musiał co sekunde wpisywać hasło. Oczywiście strony biorące to na poważnie nie są głupie i obserwują podejrzane zachowania i wymagają ponownej autoryzacji, discord rzeczewiście ma to gdzieś i token się chyba nigdy nie zmienia, lecz to i tak nie zmiena faktu że nieważne jak bardzo się bedziesz starał, bez niepublicznych exploitów na stronie discorda nie ukradniesz tokena z ciasteczek bez zmuszenia kogoś do uruchomienia skryptu/programu, chroni cię przed tym same origin policy.
Odpisz
19 listopada 2020, 15:20
big brainy
Odpisz
19 listopada 2020, 09:54
Mi nie przesyłają na librusa a ja pisze wolno jak żółw więc robię screenshoty i jest ok.
Odpisz
19 listopada 2020, 09:39
Ja nawet czasami pisze pod złym memem
Odpisz
19 listopada 2020, 09:36
OBS studio
Odpisz
19 listopada 2020, 08:04
A po co niby zakaz robienia SS? W sensie czemu uczniowie mają tego nie robić. Co w tym złego?
Odpisz
19 listopada 2020, 08:20
@Juliusz_Cezar: pewnie chodzi o twarz nauczyciela i udostępnianie jej
Odpisz
19 listopada 2020, 08:57
@reedy7: aha.
Odpisz
19 listopada 2020, 08:49
ja zamiast pisać to robię screeny i nikt nie narzeka xD
Odpisz
19 listopada 2020, 08:39
Można jeszcze przerysować ekran
Odpisz
19 listopada 2020, 08:38
Nie wiedziałem nawet że da się zrobić screeny na MSTeams, zawsze robiłem zdjęcia telefonem
Odpisz
19 listopada 2020, 12:32
@flashpoolbanxso: możesz zrobić screena wszędzie
Odpisz
17 listopada 2020, 09:53
tymczasem narzędzie wycinania które działa jak zdjęcie ale team go nke wykrywa bo to nie print screen
Odpisz
17 listopada 2020, 09:36
Ja tak robię
Odpisz
17 listopada 2020, 09:23
rel
Odpisz
17 listopada 2020, 09:16
'ie!
Odpisz