Hlavní navigace

Názor ke zprávičce Platební servery nechávají citlivé údaje v diskové cache prohlížeče od kallsyms - Obdobná situace nastává, když kryptografické knihovny zpracovávají passphrase...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 21. 6. 2013 1:17

    kallsyms

    Obdobná situace nastává, když kryptografické knihovny zpracovávají passphrase pro derivaci (př. PBKDF2) nebo odemčení klíče (př. SSH/PGP). Je sice skvělý, že dobře napsané knihovny memset-em odmažou klíče/passphrase, ale mezitím už máte značné množství kopií v RAM, než se passphrase z aplikace nebo terminálu dostane do "security-aware" knihovny. Schválně si to zkuste oddebugovat.

    Možná citlivá data nevydrží "až tak dlouho" v RAM jako v browser cache, ale v případě lokální kompromitace už není moc rozdíl, jestli se scrapuje paměť nebo disková cache.

    Mnohem větší praktické riziko je prozrazení platebních údajů hacknutím databáze obchodníka. Především PCI-DSS je spíš vtip. Nejlepší mít separátní kartu, kam si člověk nasype peníze těsně před platbou, zaplatí a zůstane mu tam nula nula nic nebo pár korun pro pokrytí kurzových rozdílů.