Back-end Opera Mini на стороне сервера, который работает на движке Presto, весьма забавная вещь. Ведь Opera Mini это не браузер, а тонкий клиент, proxy. Который не даёт тебе реальный HTML, JavaScript и CSS, а выдаёт предварительно отрендеренные JPG-картинки с некоторыми интерактивными полями. А поскольку как Opera Mini так и серверный Presto являются проприетарщиной, ты не знаешь как и что там передаётся и кому потом твои куки и пароли попадают. Тем более по открытым каналам связи, которые тогда были распространены очень широко.

Когда-то в середине нулевых, будучи ещё студентотой я очень активно пользовался Opera Mini на мобильных телефонах вроде Motorola C380 и Motorola E398 и ещё тогда у меня вошло в привычку после сеанса посещения какого-либо форума обязательно нажимать «выход». Почему? Да потому что нередки были случаи, когда я заходил на свой любимый форум через Opera Mini и внезапно оказывался в профилях совершенно разных пользователей, которые тоже использовали Opera Mini. Видимо у серверного Presto была какая-то подобная «оптимизация», баг или уязвимость.

Но в случае 2014 года данный факт ни при чём. Там МиниатюрныйРоботТанцующий сам выложил свои куки, думая что это настройки его браузера, сответственно любой бездельник (вроде тогдашнего меня) который решил тоже запустить Opera Mini и воспользоваться выложенными «настройками» попадал в его профиль.

В актуальной ситуации, рассматриваемой в этой теме вектор «атаки» мне неизвестен. У меня имеются лишь предположения которые я высказал. Когда-нибудь «виновник торжества» найдёт эту тему и может быть прояснит ситуацию как у него оказался пароль tiinn’а. А может и не прояснит. Но ты тогда уж тоже постарайся закидать его вопросами, как закидал сейчас меня.

Ох щи~, доигрался наш МРД.

А черновик под названием из трёх букв интересно выглядит, где он такую орфографию откопал?

Не знаю, не смотрел. Облачный сервер вроде у себя развернуть можно, хотя без разницы, — ибо KeePassXC.

Не, после такого позора…

Забей. Тут и похлеще отжигали.
А выходка явно не в твоём стиле.

Не, после такого позора… Только новый аккаунт.

Да бред же из-за какой-то фигни делать какие-то новые аккаунты. Все пользователи знают что под твоим ником сидит адекватный человек рыжий кот, который бы не позволил себе подобные оскорбления.

Так что не парься и позора тут совершенно никакого нет. Бывает.

Подобрал пароль

а что, к сайту не привязали фейл2бан? мило, линукс вперде, чо.

Даёшь TOTP на ЛОРе!

Ну кто такие пароли использует вообще…

Верни няшного кота на автар, поддержи соплеменника.

Интересно, спасибо.

дырявом сайте на PHP, которые наверное до сих пор хранят пароли в открытом тексте

Таких осталось мало, теперь бы донести, что и МД5 использовать не стоит.

Ещё интересней, спасибо.

pass же

Так а откуда вообще инфа, что это мертвопрог, а не любой тс любого кали треда? Есть факты?

Есть скрин от мертвопрога, где он в аккаунте ТСа сидит.

Сервер там вообще на C# кстати.

Можно ссылку?

Так его тоже могли поломать. И не факт что он восстановил аккаунт. Может быть и уязвимость в самом ЛОР-чике или каком-то софте который и ТС и мертвопрог юзают. Тут всё таки бывают не только каликакеры.

На лор нужна как минимум аналогия fail2ban, чтобы мамкины какиры не занимались подобным

Не бабка, а дедка. Отличай а от б))

Выше EXL кидал. Удалённые в теме про Кали.

Тема почему-то всё время прочитывается, как: «меня жахнули».

Так его тоже могли поломать.

Да, но нет. Если почитать, он там на тему какой-то древней уязвимости связанной с опера мини пишет.

Не, после такого позора… Только новый аккаунт.

Ну, ты меня удивил аж два раза. Поговорят и забудут...

Тебе явно надо ник сменить на что-то вроде «бабка на лавочке».

Может быть он когда-то к этому придет, как пришел к тому, что стал нормальные аватарки ставить. Последние две мне понравились.

Стыдно.

А, тот тред, где мне -7 за офтопик прилетело. В кали-треде, Карл! Ну я что думаю, мертвопрог наверное не стал бы писать, что подумывает что-то написать,а потом реально это делать. Если ему акк не жалко,конечно. Он выложил скрин с почтой, да, но как-то очень тупо получается, если это реально он в спецтопике писал.

Если ему акк не жалко,конечно.

Человеку сменившему 100500 аккаунтов? Не думаю.

Ну я что думаю, мертвопрог наверное не стал бы писать, что подумывает что-то написать,а потом реально это делать.

Искушение было не преодолеть. 🤣

А еще там есть cli, приложуха для телефона и плагины под все более-менее распространенные браузеры :-)

вообще не понимаю, зачем ставить клиент.

Если речь про десктопный клиент, то он нужен двум категориям людей как минимум:

1) тем, кто не верит в достаточный уровень изоляции плагинов в браузере;
2) тем, кто пользуется браузерами, под которые плагинов нет

Остальным да - не нужен.

Во-первых - свой vault-сервер надо держать, причем лучше сразу vaultwarden, т.к. регистрация официального местами мутная.

Ъ-параноику еще можно держать vault-сервер на изолированной от Интернета системе. Да, это ощутимо менее удобно, но за безопасность надо платить.

тем, кто не верит в достаточный уровень изоляции плагинов в браузере;

тем, кто пользуется браузерами, под которые плагинов нет

А в чём тогда проблема зайти на веб-страницу битвардена и брать пароли оттуда?

в чём тогда проблема зайти на веб-страницу битвардена и брать пароли оттуда?

Да, про этот вариант я забыл, сам не пользуюсь web vault просто :-)

Ладно, пооффтопили и хватит пожалуй