Vlákno názorů k článku Automatické ovládání aplikací s GUI využitím nástroje xdotool od Jan Hrach - Já bych chtěl ještě zmínit nástroj wmctrl, kterým...
-
Jan HrachStříbrný podporovatelJá bych chtěl ještě zmínit nástroj wmctrl, kterým se dá manipulovat s okny. Například se dají maximalizovat (
wmctrl -r :ACTIVE: -b toggle,maximized_vert,maximized_horz), přesunout na jinou plochu (wmctrl -r okno -t 4), nebo jim dát always on top (wmctrl -r :ACTIVE: -b toggle,above). Nevěděl jsem, že některé z toho umí i xdotool, jak je popsáno v článku (set_desktop_for_window)xdotool osobně používám například pro emulaci vkládání ze schránky, když to program nepodporuje - například různé vzdálené konzole serverů, ale poslední dobou bohužel i webové stránky, které chtějí, aby uživatel používal triviální hesla zadávaná ručně a ne kvalitní hesla ze správce hesel, a tak zakazují paste do políčka s heslem. Použití
xdotool type --delay 40 "`xclip -out`"místo pastnutí to řeší. -
Jan HrachStříbrný podporovatel
Bohužel nedávno jsem si někde přečetl:
Česká spořitelna to chce klientům co nejvíc usnadnit a využívá takzvanou behaviorální detekci. U lidí, kteří zůstanou u kódů z SMS a zároveň už využívali v minulosti platby kartou na internetu, nebude vyžadovat ePIN při každé platbě. Z analýzy předchozího chování totiž pozná, že nakupuje skutečně držitel karty.
což interpretuji tak, že po zakázání autocomplete, javascriptového zakázání schránky a „zašifrování“ hesla XORem s jednorázovou náhodnou challengí před odesláním aby password manager uložil tento nesmysl a ne skutečné heslo (proboha!!!!) (pozn. tohle dělá PS, ČS nemám) je další krok že někdo bude analyzovat, jestli čudlíky mačkám s prodlevou odpovídající člověku, takže si budu muset patchnout xdotool aby --delay ve skutečnosti vkládalo realisticky vypadající delaye. V jak úžasném světě to žijeme.
-
Pavel TišnovskýZlatý podporovatelAha, já to pochopil tak (ale možná se pletu), že pro nás zpátečníky, kteří používají SMS potvrzení, to nějak zdetekují (= podívají se na historii) a nechají nám tento přístup.
PS: připadá mi bezpečnější za předpokladu jedné podmínky, ale to je na delší debatu u piva :-)
-
L.Stříbrný podporovatelBude to analyzovat chování před tím, než vůbec výzvu k ePINu vydá, takže patchovat xdotool nebude mít žádný vliv, IMO.
Ano, v jakém světě to žijeme, když lidé vymýšlejí různé vyfikundace jen aby mohli používat méně bezpečný a méně pohodlný způsob zabezpečení...
-
Jan HrachStříbrný podporovatel
> Ano, v jakém světě to žijeme, když lidé vymýšlejí různé vyfikundace jen aby mohli používat méně bezpečný a méně pohodlný způsob zabezpečení...
To mluvíš o kom a o jakém způsobu? (já bych samozřejmě nejradši používal autentizační kalkulačku, ale skoro žádná banka to nenabízí)
-
L.Stříbrný podporovatel
No, píšeš o ePINu. Tedy evidentně používáš SMS, které chodí v otevřeném tvaru přes nezabezpečený (a nezabezpečitelný) protokol SS7, infrastrukturu operátora a přes GSM s dávno prolomeným šifrováním. A ještě musíš opisovat číslíčka.
Zatímco tu máme možnost potvrzovat operace kryptograficky, podpisem klíčem bezpečně schovaným v odděleném čipu (TPM modulu), s komunikací přes end-to-end zašifrovaný kanál. A podpis se potvrzuje pohodlně otiskem prstu.
Ono v internetových diskusích je každý hrdina, co klidně bude podepisovat vlastní krví, jen aby to bylo co nejbezpečnější. V reálu je ale poptávka po věcech jako autentizační kalkulátor limitně blízká nule. Proto je také (AFAIK) nikdo nenabízí. Pokud tedy tím oba myslíme takovou tu věc, co měla na začátku eBanka.
No a že by člověk, co zuřivě vymýšlí, jak patchovat xdotool, aby si usnadnil opakované úkony, ochotně zadával každou operaci 2x, tomu, s dovolením, nevěřím :-)
-
Jan HrachStříbrný podporovatel
> Zatímco tu máme možnost potvrzovat operace kryptograficky, podpisem klíčem bezpečně schovaným v odděleném čipu (TPM modulu), s komunikací přes end-to-end zašifrovaný kanál. A podpis se potvrzuje pohodlně otiskem prstu.
Tím myslíš aplikaci na backdoornutém Androidu?
> ochotně zadával každou operaci 2x
To není vůbec potřeba. Technologie pokročila, kalkulátor se připojí k počítači a částka a příp. další informace o transakci se zobrazí na jeho displeji. A já na něm zmáčknu čudlík Potvrdit. To není žádný vlhký sen, takové věci už mnoho let fungují a dokonce se to vymyslelo a vyrábí v ČR, jmenuje se to Bitcoin Trezor.
