Avatar
👑Bom-em-nada Juliano 1y ago

IMPORTANTE!!!!!!!!!!!

PRA QUEM USA O NOSTTER.APP !!!!!!!!!!!!

Gurizada, o nostter.app armazena a NSEC de maneira exposta, qualquer programa ou extensão que tiver acesso ao sessionstorage vai ter acesso às tuas chaves privadas.

NÃO USEM ATÉ QUE SEJA CORRIGIDO.

Simplesmente ao abrir o dev-tools foi possível achar... Segue print da evidência.

Então cuidado, não utilizar este client até que seja resolvido este problema. Deixar a chave exposta ali é muito arriscado...

OBS: chave privada ali no print é uma conta apenas de teste.

Vou tentar entrar em contato coms devs deste client (NOSTTER.APP) pra sinalizar eles desta falha de segurança.

Boa noite, minha honra, magnatas!! Fui

Reply to this note

Please Login to reply.

Discussion

Avatar
devsou.com 1y ago

Já usei esse cliente (faz muito tempo), mas utilizando a extensão desktop.

Na minha humilde opinião, exigir senha do user é um saco. Prefiro que fique dessa forma "exposta". Basta ter cuidado com as dependências usadas no projeto.

Avatar
👑 Mises Dev 1y ago

Não precisa nescessariamente pedir senha, mas deixar em texto aberto é foda kkk

Ao menos tornar um pouco mais difícil o trabalho de um hacker, o cara pode conseguir acesso ao seu localstorage do navegador mais ainda vai ter que ao menos descifrar algo pra conseguir a nsec pow kkk

Avatar
👑 Mises Dev 1y ago

Também acho meio incoveniente, mas existem formas melhores doque pedir senha

Avatar
Raskolnikov 1y ago

Caralho, acessei a agora mesmo.

Faço o q, agora?

9e
9e4a5274... 1y ago

Apague esse comentário

Avatar
Raskolnikov 1y ago

Podem roubar esse chave privada. Foda-se, eu crio outra.

Essa é a vantagem do NOSTR.

Seria interessante um forma de verificação com PGP de perfis....

9e
9e4a5274... 1y ago

Pois é, mas é sempre bom tomar cuidado

ab
hanzo 1y ago

Eu só quero pega a sofhia não me importa a conta ... que a putaria comecei kkk

Avatar
👑 Mises Dev 1y ago

Kkk fica tranquilo, não tem problema.

Pra alguém conseguir acesso a sua chave privada, tem que ter acesso a sua máquina, ou ao storage do seu navegador. Resumindo, só se você for hackeado ou coisa do tipo.

O problema desse cliente é que ele salva na sua máquina, a sua nsec em texto aberto, sem criptografar, então fique tranquilo, você não terá problemas.

Avatar
Dhay 🏴‍☠️ 1y ago

Apaga todos os cokies e dados do nostter.app

Avatar
devsou.com 1y ago

Fiz um estudo sobre a forma correta de se armazenar a chave privada no navegador. O certo seria usar essa api, que evita a chave ser acessível através de código js:

https://developer.mozilla.org/en-US/docs/Web/API/SubtleCrypto/generateKey

Avatar
devsou.com 1y ago

@npub124rja8qp7dartasr9wdh3kk78phxunzhmq8ar5ryd2anj2qwtcnsz3tu👆

Avatar
Dusk 1y ago

Nesse caso não daria pra usar JWT da mesma forma que fazemos pra autenticar um usuário em aplicações web normalmente?

Avatar
devsou.com 1y ago

Não daria certo, pois o cliente precisa assinar eventos, ou seja, precisa ter acesso à chave privada. JWT só é utilizado para verificação.

Avatar
Dusk 1y ago

Dei uma pesquisada rápida, e pelo visto não daria.

Até mesmo porque o nostr não tem um servidor central com os usuários cadastrados nele 🫠

Avatar
Descartes 1y ago

Mas pra ocorrer isso teria que realizar o 'login' colando a nsec, certo?

Usando extensões isso não ocorre.

Avatar
👑Bom-em-nada Juliano 1y ago

Bom dia, só pra adicionar aqui. Quem descobriu isto foi o nostr:npub1x6mv9cxqquv0qja4836947cappn0veq2ndghd6ymuncdxzumkasqvkkm9a AKA MR. FOSTER

36
Mr Foster 1y ago

nostr:npub124rja8qp7dartasr9wdh3kk78phxunzhmq8ar5ryd2anj2qwtcnsz3tuhs nostr:npub1du57w98d4sgjzeqz8wntk7w09855txtk87m45s4r9uy7xeare96qrat5sk Em uma olhada rasa em alguns clientes (noStrudel, Noster.app) de fato ambos armazenam a nsec em texto aberto no browser.

Entendo que em teoria, a localstorage é segura. Mas sabemos que ataques XSS são muito comuns. Roubar um JWT não é um problema tão grande, mas uma nsec sim.

Deveríamos propor uma prática melhor à comunidade ao armazenar estas credenciais.