Author: Igor Falcomata' Date: To: hackmeeting Subject: Re: [Hackmeeting] opinioni su crypto.cat, kyloggers e chiavi segrete
On Fri, Sep 11, 2015 at 09:57:51AM +0200, Robert Newmark wrote:
> e non vale lo stesso per quella password? nel senso, se hai avuto codice
> arbitrario, magari non ti intercetto la password, ma ti intercetto tutto
> quel che fai con quella password.
Si' ovvio, ma *non* accedi[1] in ssh, ai miei sistemi e non hai le
password di luks o le password di gpg/vpn/ballevarie importanti.
Che poi tu veda che sto guardando youporn, editando riservatissimo.odt o
sia in ssh su una shell di antani o addirittura tu possa iniettare un
comando arbitrario, e' una possibilita', ma nel mio contesto questo
rischio e' accettabile (in confronto alla scomodita' di non usare X, e
sempre calcolando che di base, se stai eseguendo codice abitrario sulla
mia macchina, e' gia molto male e sono gia' molto nella merda).
Btw, tutta la roba anche vagamente pericolosa gira in una VM, senza
supporto per lo scambio di clipboard, per cui devi prima fare VM->host o
almeno VM->Xorg, e sono un dei pochi idioti che usa grsecurity anche sul
desktop, oltre ad altro hardening vario (tra cui non usare consolekit e
dbus da root e tutte le altre balle che permettono escalation a root che
non sia via su/sudo).
Tornando alla domanda di Jaro, ho provato per un po' ad usare solo
console con tmux (e clipboard via tmux e/o gpm), e per me e' una rottura
di balle infinita, ma c'e' gente che lo fa.
[1]: puoi sempre abusare dei miei agent nel momento in cui sono attivi,
ma devi a quel punto o eseguire codice come l'utente che vi ha accesso
(che non e' quello con cui girano tutti i programmi applicativi vari) o
root oppure "rubarmi" il focus da una shell di quell'utente, lanciare il
comando che vuoi lanciare e poi occultare il tutto senza che io me ne
accorga, che e' poi' o meno complicato che semplicemente "ascoltare"
tutti gli event Xorg.
Poi il tutto per me rimane usabile ma probabilmente non adatto
all'utente "normale" (anche linuxaro intendo).
