Názory k článku
Electronový klient MS Teams ukládá autentizační tokeny jako text

Našťastie nepoužívam v rámci osobného stroje... na pracovnom mi je to jedno (nemalo by, ale tak problém firmy, nie mňa, že používa hazardný odpad).

Aspoň že šifrovanie disku to zabezpečí dostatočne, stačí že sa odhlásite zo systému...

16. 9. 2022, 13:23 editováno autorem komentáře

To není chyba. Všechny programy, které si pamatují přístup někam (tj. hesla, klíče apod.) i když program ukončíte, a nevyžadují po vás při příštím spuštění heslo, ty údaje ukládají někam na disk buď jako otevřený text, nebo jako ekvivalent otevřeného textu – data jsou sice zašifrována, ale klíčem, který je zase někde uložen na disku, buď v aplikaci nebo v nějaké konfiguraci.

Třeba prohlížeče takhle mají uložená hesla v interním správci hesel, pokud není chráněn hlavním heslem.

Ono to totiž na Linuxu/Window­s/MacOS jinak nejde – nejde správný dešifrovací klíč vyčarovat z ničeho, a na těchto systémech neexistuje žádné úložiště, které by bylo určené jenom pro danou aplikaci a nikdo jiný by se do něj nedostal.

Není to tak úplně pravda. Linux/Gnome má nějaký ten keyring, do kterého se ukládají hesla a aplikace je tam mohou cpát také. Nejsem si teda jistý, jak je řešení to úložiště klíčenky, ale jelikož je to navázané na login uživatele, tak by to mohlo být alespoň šifrované jeho heslem do systému. Když se podívám do té své klíčenky, tak tam má uložené věci Remmina (RDP/VNC/whatever klient), Nextcloud, nějaké profily Network Manageru a nějaký záznam je tam i od chromia, takže se domnívám, možná mylně, že chromium tímhle klíčem šifruje ty svoje uložená hesla.

Jak je to u ostatních OS netuším, vybavuju si matně, že MacOS něco takového má taky, u Windows nevím vůbec...

Gnome Keyring je šifrovaný přihlašovacím heslem, je to v pořádku. Má to veselý důsledek: když si změníte heslo jinak, než přes Gnome Settings (např. pomocí passwd(1)), tak po přihlášení nebude keyring odemčený a bude vyžadovat zadání (toho starého, zapomenutého) hesla :-)

zapomenuté zrejme nieje, a toto nie je ani problém,... btw. heslo ku keyringu sa dá nastaviť aj osobitne a to aj priamo z terminálu, a navyše sa dá nastaviť aby to použilo login. Takže ak si to nastavíte tak celý ten kec o passwrd(1) nebude platiť a ono to zmení aj u keyringu.

Podle meho je nestastne pouzivat stejne heslo jak k prihlasovani do systemu tak sprave klicenky hesel. Uz jen proto, ze mnohdy heslo k pocitaci uhodne na treti pokus i decko. A to kolikrat i ve firme. Kde take hrozi vetsi riziko prozrazeni hesla k uctu. Dalsi veci je, ze pokud pripadny zajemce o vase pristupy tusi kde hledat, staci mu pockat si, az opustite pocitac (a ruku na srdce, kolik lidi jej pri svem odchodu poctive zamyka?). Minimalne se muze dostat na ucty a sluzby chranene prave hesly v te integrovane klicence.

Za me je znacka ideal oddelena klicenka ala pass. Je to sice o neco mene "user friendly" (jedovaty usklebek), ale jednak je k jejimu pristupu potreba jine heslo a jednak se nikam automaticky nevyplnuje. A kdyz je potreba zas potvrdit heslem.

> k prihlasovani do systemu tak sprave klicenky hesel. Uz jen proto, ze mnohdy heslo k pocitaci uhodne na treti pokus i decko.

a vieš mi vysvetliť aký je rozdiel medzi heslom do systému a do keyringu? Však to môže byť zhodne string s rovnakými pravidlami. Absolútne nedáva zmysel že by heslo do systému malo byť ľahšie uhádnuteľné než heslo do keyringu. V mojom prípade by si ho teda určite neuhádnul, pretože to heslo je náhodne vygenerované o dĺžke 20 znakov, obsahujúc malé, veľké písmená, čísla, špeciálne znaky, medzeru a ešte aj znak, ktorý som pred nedávnom ani nevedel ako na klávesnici napísať.

16. 9. 2022, 15:21 editováno autorem komentáře

Pokud má někdo heslo do počítače, co uhádne i děcko, bude ho mít i do té klíčenky... a ruku na srdce, externí aplikaci, do které se cvaká nějaké heslo při každém přístupu, většina lidí používat nebude...

(Já třeba vyjma tohohle používám i ten keepass, s dalším heslem a klíčem, jiným než do systému... ale taky úplně upřímně ho mám nastavený tak, že zůstává odemčený pořád (a ano, ten počítač doopravdy zamykám, když jdu od něj pryč), protože bych se jinak udatloval, kdybych při každém přístupu k heslům tam měl cvakat heslo (navíc těch databází tam mám několik, takže nacvakat heslo do hlavní, v ní najít heslo k té druhé, ...)).

Windows ma DPAPI.

macOS má na to systémového správce hesel a certifikátů Keychain Access.app, která má přesně tohle na starosti.
Chápu, že vývojáři zvláště ti, co nerozumí OS pro které programují a jsou odstíněny desítkami abstrakcí (a píší v JavaScriptu [sorry nedalo mi to]) tohle nevidí a uložit cokoliv na disk je prostě jednodušší a „prostě multiplatformní“.

16. 9. 2022, 13:54 editováno autorem komentáře

Ve skutečnosti jsou MS Teams electronová aplikace, takže to používá standardní prostředky webového prohlížeče, který je v té aplikaci zabalený. Ten autentizační token je totiž uložen jako úplně obyčejná cookie v SQLlite databázi. Cookie je to proto, aby se to automaticky přibalovalo k HTP požadavků - a ta cookie je HTTP only, takže technicky Microsoft Teams klient o té cookie ani neví, nemá možnost ji číst natož ji odmítnout. Ale chápu vaši námitku, kterou očekávám, že přece server je také od autorů Teamsů.

Mimochodem to znamená, že úplně stejně se chovají všechny elektronové aplikace. Což málokoho zajímá, ale Teamsy jsou od Microsoftu, takže si kde kdo rád kopne.

No a ta databáze cookie má v sobě sloupečky value a encrypted_value, přičemž se používá ten nešifrovaný. Aktuální verze prohlížečů postavené na Blinku už mají jenom ten šifrovaný sloupeček, takže je otázka, proč je to v Elektronu jinak. Jednak v Elektronu není úplně nejnovější jádro, takže je možné, že je tam prostě jádro z doby, kdy se na šifrování cookies na disku teprve přecházelo. Také je možné, že byla podpora klíčenek z Elektronové verze prohlížeče prostě vyhozena, protože je to kód závislý na platformě, dost specifický, a nepředpokládalo se, že by měl v electronových aplikacích velký význam. Nezapomínejme, že Electron původně vznikl (pod jménem Atom Shell) jako framework, ve kterém byl napsán textový editor - a je potřeba mít velkou fantazii, aby si někdo představil, že v podstatě GUI framework pro textový editor bude potřebovat ukládat šifrované cookies.

Já si s chutí kopnu do jakékoliv Electron aplikace, protože Electron je prostě bullshit. Psát desktopové aplikace v prohlížeči, který se pak přibaluje je nejenom overkill, ale způsobuje to problémy, na které kvůli abstrakci/abstrak­cím nelze dohlédnout viz přesně tento problém.
To že MS použil Elektron pro Teams je prostě, chybný výběr technologie.
Mimochodem právě MS se snaží Elektronu zbavit a nahradit ho svým řešením (i v Teams), ale moc mu to nejde (viz Teams 2.0).

Kopat si můžete, jak chcete. Což nic nemění na tom, že je to jeden z mála způsobů, jak psát desktopové multiplatformní aplikace. Je to v dnešní době zdaleka nejjednodušší způsob, a když ta aplikace existuje i jako webová aplikace, je to ještě daleko větší úspora.
Spousta desktopových aplikací by bez Electronu vůbec neexistovala. Tak pokud se vám ty aplikace nelíbí, prostě si představte, že ta aplikace vůbec neexistuje, nepoužívejte ji  – a budete to mít stejné, jako kdyby Electron neexistoval.
Já bych se místo dštění síry na Electron zabýval tím, proč neexistuje něco lepšího, než Electron, když je Electron taková hrůza.
Jinak souhlasím s tím, že renderovat GUI aplikace pomocí jazyka pro formátování dokumentů je padlé na hlavu. Vyndat ten renderer z prohlížeče, vyndat z něj javascriptový engine a osamostatnit ho, a pak ten osamostatněný engine a prohlížeč zase poslepovat dohromady a psát desktopové aplikace v tom je padlé na hlavu na třetí. Ale to není chyba těch technologií, je to chyba toho, že nikdo neudělal nic lepšího.

Doporučuji pak kopnout i do všech webových aplikací a koneckonců i do všech webů.

Trochu upřesním situaci na Windows (jinde to bude určitě podobné), aplikace může použít Data Protection API (C-čkové funkce CryptProtectData a CryptUnprotectData) pro zašifrování tokenů, hesel, klíčů apod, které pak uloží na disk.

K šifrování a dešifrování takto uložených dat se používá klíč odvozený od přihlašovacích údajů k Windows účtu. To má výhody a nevýhody: Jedno heslo/pin/obli­čej/FIDO token/smart card chrání všechna ostatní hesla, stejně jako u různých klíčenek a správců hesel. Jiný uživatel (Windowsí uživatelský účet, například na stejném počítači třeba v doméně) nemá přístup k mému klíči. Data lze dešifrovat i po vypnutí aplikace (tady např. MS Teams), i po vypnutí počítače. Jakákoli aplikace spuštěná pod stejným uživatelským účtem může data dešifrovat, takže třeba i virus, to ale platí i pro různé FireFoxy a KeePassy. Data nelze dešifrovat vyndáním hard disku z počítače a otevřením v jiném počítači, nebo odesláním zašifrovaného souboru jinam (bez znalosti Win přihlašovacích údajů a možná i trusted platform modulu, u toho TMP si nejsem jistý).

Tohle je hodně hloupá výmluva. Minimálně co znám KDE aplikace tak využívají KWallet pro hesla. Windows má na tohle taky řešení.

totálny nezmysel čo kecáš... heslo ku keyringu v mojom prípade nie je nikde na disku uložené, on je načítaný zo vstupu používateľa (klávesnica) pri prihlasovaní do systému. A tak je to bežné u každého systému.

16. 9. 2022, 14:52 editováno autorem komentáře

Tak se nám tu sešel pěkný výčet technologií, které vůbec nic neřeší. Ano, máme tu různé technologie, které umožňují jakékoli aplikaci uložit heslo a pak jakékoli jiné aplikaci to heslo zase získat. Což je přesně to, co jsem psal na začátku – jedna možnost je heslo/klíč uložit v otevřeném tvaru, takže půjde získat úplně bez práce; nebo ho trošku schovat, třeba zašifrovat klíčem, který bude uložený hned vedle, v aplikaci, nebo nějak podobně.

Klíčenka odemykaná uživatelským heslem je chráněná proti tomu, kdyby někdo získal jenom disk, nebyl v běžícím systému – ale proti takovému útoku chrání lépe šifrování disku, které ochrání i další citlivé údaje, ne jen hesla.

Pokud by se někdo myslel, že klíčenka vydá heslo/klíč jenom té správné aplikaci – na Linuxu/Window­s/MacOS není na úrovni OS zaručená identita aplikace. Klíčenka nemá jak zjistit, zda o heslo žádá „ta správná“ aplikace. Což poznáte např. podle toho, že aplikaci zaktualizujete, tj. je to jiná aplikace, ale klíčenka jí heslo stejně bez problémů vydá. A co se asi stane, když vám tu aplikaci „zaktualizuje“ útočník?

Čítaj čo tu píšeme... pretože kecáš nezmysli, o ktorých nič nevieš.

Žiadne heslo ku keyringu v počítači v čitateľnej podobe nemám uložené.

> Klíčenka odemykaná uživatelským heslem je chráněná proti tomu, kdyby někdo získal jenom disk, nebyl v běžícím systému

A v čom je to ako problém? Jednoducho stačí aby keyring bol otvorený v rámci systému ale stále môže byť neprístupný pre jednotlivé aplikácie... navyše môžeš ju mať dokonca nastavenú tak že po každom použitý sa automaticky zamkne, a že bude poskytovať len heslo ku konkrétnej aplikácii. Navyše, aj keby tomu tak nebolo a aplikácia by bola škodlivá, nie je to jedno? Však si to heslo škodlivým správaním získa aj inými spôsobmi než z keyringu?

16. 9. 2022, 15:32 editováno autorem komentáře

Na to, aby ta klíčenka vydala heslo aplikaci, je pořád potřeba trochu více, než mít read only přístup na disk. Ano, pokud si tam někdo už pustí nějaký proces pod svým uživatelem, tak ho nezachrání. Ale dovedu si představit hromadu jiných zranitelností, díky kterým je možné číst soubory na filesystemu, ale na získání hesla z klíčenky je to málo.

(Ono když už tam běží infikovaný proces pod daným uživatelem, tak nepomůže ani třeba ten keepass, protože tomu procesu stačí v tu chvíli monitorovat schránku a má to heslo taky...)

Jenže tohle je úplně špatný přístup k bezpečnosti. „Dovedu si představit, že když ten lupič bude na vozíčku, ruku v sádře, šátek přes oko a bude neděla a banka bude zavřená, tak tu banku nevyloupí“. Ne, bezpečnost se opravdu neřeší tak, že si představím co nejneschopnějšího útočníka.

Například pro spoustu uživatelů bude stačit možnost číst soubory z disku i na prolomení té klíčenky. Protože prostě mají tak slabé heslo, že ho hrubou silou uhádnete.

Zajímalo by mne, jestli třeba takový Firefox používá pro ukládání uživatelských dat (cookies, local-storage apod.) ty funkce zajišťující alespoň šifrování klíčem uživatele. Dříve se dal uživatelský profil ve Firefoxu přenášet mezi počítači prostým kopírováním soubor, to už dnes nejde? Pokud to jde, pak jste na tom při použití Teams ve Firefoxu úplně stejně, jako při použití té Electronové aplikace.

Ve chvíli, kdy si uživatel pustí na počítači nějaký závadný proces, tak se může stát hromada škod a těžko tomu lze zabránit... ale upřímně, říkat, že tohle je špatný přístup k bezpečnosti, který zamezí alespoň poměrně velkému počtu zranitelností a na druhou stranu obhajovat, že je úplně v pohodě mít ty nešifrovaná data na disku, protože když si tam uživatel pustí proces, co je z té klíčenky dostane a protože má stejně blbé heslo, co každý uhodne, to jde tak trochu proti sobě :-)

> Ne, bezpečnost se opravdu neřeší tak, že si představím co nejneschopnějšího útočníka.

> Například pro spoustu uživatelů bude stačit možnost číst soubory z disku i na prolomení té klíčenky. Protože prostě mají tak slabé heslo, že ho hrubou silou uhádnete.

rovnako sa nerieši bezpečnosť tak že si predstavíte najneschopnejšieho usera.... alebo od dnes nebudeme v autách inštalovať bezpečnostné pási, airbagy, pri cestách nebudú dopravné značky a nebudú zákony a neviem čo, lebo jeden človek si medzi airbag a svoje telo dal nôž nasmerovaný na svoje telo, nezapol si pás, rozjel sa 300km/h a napálil schválne do zdi a umrel? A tým argumentuješ že Airbag, bezpečnostný pás, dopravné značky atď sú zbytočné?

16. 9. 2022, 17:09 editováno autorem komentáře

[Filip Jirsak]
K sifrovani disku - Ano, ale to se vyplati jen tam kde, takove riziko realne hrozi. Doma kvuli nekolik slozkam s pornem se urcite sifrovani nevyplati, ale kdyz je nekdo paranoik - proc ne?* Zas na druhou stranu, ukrast disk napr ve firme muze byt samo o sobe znacne rizikove. Mnohem nenapadnejsi a jednodussi muze byt ukrast pristup. A jak jsem psal vyse, zazil jsem uz dost firem kde meli nastavenou bezpecnosti politiku moc benevolentne, nebo zas az moc prisne. Oba extremy pripadnemu "zlodeji" vsak nahravaji do karet.

K vydani klice. To je o tom co jsem se snazil rici vyse. Obecne se da rici ochrana, nebo chcete-li bezpecnostni politika - vzdycky znamena nejaka omezeni. V tomto pripade radeji vybirat potrebny klic v potrebnou dobu a sam jej predat do dane aplikace. Jenze jak jste mohl cist : "kdo to bude delat?" No, jo ale pak at nechodeji brecet.

Bezpecnost i vazeni rizika by se meli delat s rozumem. Strach (paranoia) a lenost jsou spatni radci.

* Myslim, ze domacim desktopum vic hrozi nebezpeci utoku ze site, nez to ze nekdo odcizi hadr. Tedy pokud nejste generalni reditel nadnarodniho zbrojarskeho koncernu....

16. 9. 2022, 21:54 editováno autorem komentáře

>Pokud by se někdo myslel, že klíčenka vydá heslo/klíč jenom té správné aplikaci – na Linuxu/Window­s/MacOS není na úrovni OS zaručená identita aplikace. Klíčenka nemá jak zjistit, zda o heslo žádá „ta správná“ aplikace.

Tak právě na macOS je identita a integrita aplikace řešená digitálním podepisováním a notarizací aplikace.

Ale navíc vám prozradím, že do klíčenky můžete uložit COKOLIV, takže třeba zašifrované heslo už vaší aplikací. Takže, kdo by ho chtěl použít musí vědět, jak daná aplikace toto heslo před uložením do klíčenky šifruje.

Tak právě na macOS je identita a integrita aplikace řešená digitálním podepisováním a notarizací aplikace.
Jenže to se týká jen aplikaci instalovaných oficiálním distribučním mechanismem. Zrovna Microsoft Teams se ale neinstalují ani přes AppStore.

Takže, kdo by ho chtěl použít musí vědět, jak daná aplikace toto heslo před uložením do klíčenky šifruje.
Ano, to je ukázkový příklad Security through obscurity, což je obecně považováno za špatný způsob „zabezpečení“. Přičemž když už někdo zvolí tuto cestu, nepotřebuje k tomu žádnou klíčenku.

Ale je to stejné, jako s hashováním hesel – z hlediska PR je nejlepší data takhle nějak jednoduše zašifrovat klíčem zapsaným natvrdo ve zdrojovém kódu aplikace. Předejde se tím těmhle článkům „ó hrůza, aplikace ukládá klíč v otevřeném tvaru“, bezpečnost se tím nijak významně nezvýší a implementačně je to jednoduché. Nákladově to nejde za bezpečnostním týmem ale za marketingovým :-)

>>Tak právě na macOS je identita a integrita aplikace řešená digitálním podepisováním a notarizací aplikace.
>>Jenže to se týká jen aplikaci instalovaných oficiálním distribučním mechanismem. Zrovna Microsoft Teams se ale neinstalují ani přes AppStore.

Nikoliv. To se od macOS 10.15 týká VŠECH aplikací.
Pokud nějaká aplikace není podepsaná a notarizovaná, vyskočí na uživatele upozornění, že jde o nedůvěryhodnou aplikaci.

Teams nelze nahrát do AppStore právě z důvodu, že je Electron-based.

19. 9. 2022, 12:38 editováno autorem komentáře

To jste nikdy nevidel zadnou aplikaci na hesla se sifrovanou databazi, ktera se odemkne jen po zadani master hesla?
Jasně, vůbec o takové možnosti nevím, proto jsem ji také ve svém komentáři zmínil.

protoze v tech klicenkach se k heslu nedostane kdekdo, ale jen to co zna master heslo
Jasně, takže vy nějaké aplikaci (třeba teoreticky těm MS Teams) řeknete master heslo ke své klíčence, ta aplikace si pak z klíčenky vezme jenom svoje heslo a svatosvatě vám odpřisáhne, že žádné jiné heslo z klíčenky určitě nevytáhne. Takhle nějak jste si to představoval?

Je videt, ze jako vzdy nevite o cem mluvite…
No, zatím to vypadá, že vy jste nikdy žádnou softwarovou klíčenku neviděl.

> protoze v tech klicenkach se k heslu nedostane kdekdo, ale jen to co zna master heslo
Jasně, takže vy nějaké aplikaci (třeba teoreticky těm MS Teams) řeknete master heslo ke své klíčence, ta aplikace si pak z klíčenky vezme jenom svoje heslo a svatosvatě vám odpřisáhne, že žádné jiné heslo z klíčenky určitě nevytáhne. Takhle nějak jste si to představoval?

áno, pretože môžeš mať viacero sväzkov, a master heslo odomkne len jeden zväzok, ak to máš tak nakonfigurované, a teda aplikácia aj tak nebude mať možnosť si zobrať iné heslo (resp. heslá z iných zväzkov, ale len z toho jedného konkrétneho zväzku, ak si teda vytvoríš osobitne zväzok len pre software od Microsoftu, tak iné aplikácie než tie od Microsoftu k tomu nebudú mať prístup a naopak software od Microsoftu nebude mať prístup k iným zväzkom)...

navyše aplikácie si neberú heslá, ono to nie je tak že aplikácia číta z keyringu, ale naopak, password manager ponúka heslá aplikáciám. Tzv. heslo si nepýta aplikácia, ale dostane jedno konkrétne z keyringu.

16. 9. 2022, 17:54 editováno autorem komentáře

ta aplikace si pak z klíčenky vezme jenom svoje heslo a svatosvatě vám odpřisáhne, že žádné jiné heslo z klíčenky určitě nevytáhne

Tohle třeba řeší org.freedesktop­.portal.Secret

Ano, pokud aplikace běží v nějakém kontrolovaném prostředí, které je schopné zaručit identitu aplikace, tam takovéhle věci mohou fungovat. Proto jsem psalo o Linuxu/Window­s/macOS. Třeba na Androidu nebo iOS je operační systém schopen zajistit identitu aplikace, takže tam aplikace může mít výhradní přístup k něčemu. Na desktopových OS jsou také taková prostředí. Ale když si někde nainstaluje MS Teams do domovského adresáře, není žádná šance, jak zjistit, jestli MS Teams, který chce přístup k datům příště, je ten správný MS Teams (jenom třeba zaktualizovaný), nebo je to podvodná aplikace.

16. 9. 2022, 19:15 editováno autorem komentáře

Jo jasně, protože KDE nemá KWallet a GNOME Keyring manager pro tyhle věci. To je zas blábol, že to nejde.

Tohle ani pořádně vyřešit nejde pokud chcete mít pohodlí v automatickém přihlášení. Aby to nějak fungovalo, musel by OS poskytnout přes API klíčenku, která by byla někde uložená (hw čip, šifrovaný soubor), ale vydala heslo jen autorizované aplikaci a na správném stroji a tady je zase problém jak poznat že se jedná o tu správnou aplikaci a ne někoho jiného? Leda ji podepsat klíčem z OS/TPM? Netuším.
Pokud někdo o něčem spolehlivém ví, sem s tím.

2Jirsák:
Dost často jsem měl pocit, že vám tady trochu křivdí. Bohužel tentokrát jste se odhalil a ukázal, že jste úplně nahý. Možná by pro vás nebylo od věci si aspoň trošku nastudovat, jak to doopravdy funguje, třeba na tom macOS, který tak nemáte rád. Podle všeho budete dost překvapen.

Netuším, jak jste přišel na to, že prý nemám rád macOS. Každopádně tu vidím třeba v adresáři /opt/homebrew skripty a binárky, o kterých si nemyslím, že by byly podepsané. Microsoft Teams nejsou instalované z AppStoru, ale jsou alespoň spořádaně nainstalované v /Applications, takže věřím, že systémový správce hesel může ověřit, co se spustilo. Jenže je to Electronová aplikace, navíc zrovna MS Teams mají možnost rozšiřování pomocí pluginů, takže jsem přesvědčený o tom, že chování té aplikace se může změnit, aniž by se změnil jediný bit na mém disku.

No a protože Electronové aplikace jsou založené na jádru prohlížeče, proč se nepodívat přímo na prohlížeč? Ten soubor, kde jsou tokeny pro MS Teams, je obyčejná SQLlite databáze s cookies, stejná, jakou používají prohlížeče Chrome a další. Ty mají v aktuálních verzích hodnoty cookie šifrované, na MacOS se používá právě systémová klíčenka. A existují samozřejmě i utility na jejich dešifrování, které si samozřejmě přístup k té klíčence musí vyžádat. Jedna taková utilita je třeba zde: https://github.com/bertrandom/chrome-cookies-secure a vidíte tam i snímek obrazovky, jak vypadá ten dotaz na uživatele, zda chce povolit přístup ke klíčence. Byl by takový problém pro útočníka celé tohle spustit z procesu, který se nebude jmenovat "node", ale třeba "Microsoft Teams"? Nebo když někdo použije tenhle nástroj a zvolí "Always Allow", mají od toho okamžiku ke klíčence Chrome přístup všechny aplikace spouštěné pod node.

A to se celou dobu bavíme o MacOS, což je jednolitý systém, autor aplikace se může spolehnout na to, že tam bude ta jediná systémová klíčenka, systémová klíčenka se zase může spolehnout na to, jak vypadají podpisy aplikací, pokud jsou nainstalované standardně do systému "the Apple way". Na linuxu je to daleko rozmanitější, klíčenek je víc, způsobů podepisování aplikací je víc...

> Každopádně tu vidím třeba v adresáři /opt/homebrew skripty a binárky, o kterých si nemyslím, že by byly podepsané.

Proč si to myslíte?
Na základě mé poslední zkušenosti, neúspěchu spustit v macOS nepodepsanou binárku by mě to docela zajímalo.

Myslím si to proto, že tam žádný podpis nevidím

Vyrobil jsem binárku hello-world, který do konzole vypisuje "Hello World!". V terminálu jsem zadal příkaz ./hello-world a do konzole se vypsalo: "Hello World!" Já bych to považoval za úspěšný pokus, vy ne?

Jestli vam teda nekdo cte soubory na disku, tak mate sakra velky prukak, nez jenom to, ze Teams uklada hesla jako plain :-)

Osobně MS Teams nepoužívám, většině školám bych raději doporučil Jitsi. Vlastně ani pořádně nechápu, proč MS Teams existuje, měl jsem tu čest MS Teams používat... a znovu už prosím ne.

Opravdu daději Jitsi.
1. Spustit to lze na všem.
2. Je to stabilnější, rychlejší.
3. Není to bezpečnostní díra do počítače a nucení vyzrazovat data o studentech MS.

Jo jitsi je supr. Bohuzel jsme ho museli opustit, protoze po vymene monitoru za 4k ani na 6 jadrovem stroji to nebylo k pouziti a cely pocitac to dostavalo do kolen. Teams si s tim proadil bez problemu. Je to teda uz tak rok zpatky a dalsi pokusy jsme nedelali.

Jitsi je ovšem jenom zlomek funkcionality MS Teams. Jitsi je nástroj pouze pro videohovory, MS Teams má chat (jako Slack), sdílení souborů a dokumentů, kalendář a spoustu dalších věcí, které se dají doplnit pomocí pluginů.

Že je Jitsi stabilnější a rychlejší se podle mne říct nedá – v době Covidu-19 jsem zkoušel hodně různých programů pro videokonference a Jitsi mi přišel subjektivně nejméně spolehlivý, nejvíc lidí mělo problém připojit se nebo nefungoval zvuk nebo obraz. Ale zkušenosti se asi můžou dost lišit, všechny tyhle nástroje na videohovory jsou dost závislé na konfiguraci sítě i daného zařízení.

Jako obvykle, řešení od MS je to nejhorší dostupné, ale z nějakého záhadného důvodu se prosadí :-/

To není žádná záhada. MS dává Teams k Office zdarma, možná i k Windows předplatnému. To je celé. Na tohle si stěžoval Slack a je to v podstatě zneužití monopolního postavení.

Záhada jen pro neznalé :-)
Když školy mají O365 zdarma a učitelé objeví, že si mohou svou přípravu doma udělat na svém windows notebooku (hle: majoritní OS) a navíc žáci mají také najednou přístup k zadání i z domova (hle: majoritní OS), tak není divu, že se k tomu použije teams a ne např. Zoom. Protože by to byla zbytečná dovjí agenda...

Naopak s konkurencie je su MS teams to najlepsie co som skusal.

To je ovšem spíš smutné než cokoliv jiného. Protože Teams patří co se UI/UX týká mezi nejstrašnější kusy softwaru, keré jsem kdy používal (musel) a co se týká funkcionality, taky to není žádný zázrak; celkem pravidelně se mi stávalo, že mi zničehonic sletěly a podobně. Jako jo, je pravda, že co se videohovorů týká, patří k těm spolehlivějším, to ano. Je to ovšem, jak jsem jednou náhodou zjistil v pulseaudiu, tím, že je to dobře zabaléné jádro od Skype.

Stále v tom mají ta microsoftí hovada zadrátované IPv4?

Ano, pokud jsi zkoušel jen Teams, tak jsou to nejlepší, co jsi zkoušel. Jinak je to hnus fialovej. Zlatej Slack.

Ptal jsem se v nekolika firmach. Obvykla odpoved byla: vedeni to zakoupilo. No a proc to vedeni zakoupilo? Protoze to uz meli v pocitaci spolu s Officy, znali to a po jinych moznstech se nepidili.
Teams je hnus fialovy. Mam poruznu vice uctu, ale nikdy nevim do ktereho se zrovna prihlasuju, protoze v tom maji bordel. Uzivatelske rozhrani je hruza, jednou je enter odeslani prispevku, jindy je enter novy radek, silene to zere ramky (dekuji elektrone) a z podivnych duvodu nemuzu posilat soubory.

A to buďte rád, že nemáte ARM-ový mac, tam to beží v intel emulácií ;-).

Inak už teams vie zdielať obrazovku cez pipewire / na waylande? Svojho času s tým mal problém. Samotný chrome/electron to vedia už tak zo dva roky.

Bude aj clanok o tom, ze Chrome uklada autentifikacne cookies do plaintextu a bude okolo taoho taky hon na carodejnice?

Kdyby byl, nebylo by to neoprávněné. Ale nová jádra už to, myslím, nedělají.