Replying to Avatar 👑Bom-em-nada Juliano

IMPORTANTE!!!!!!!!!!!

PRA QUEM USA O NOSTTER.APP !!!!!!!!!!!!

Gurizada, o nostter.app armazena a NSEC de maneira exposta, qualquer programa ou extensão que tiver acesso ao sessionstorage vai ter acesso às tuas chaves privadas.

NÃO USEM ATÉ QUE SEJA CORRIGIDO.

Simplesmente ao abrir o dev-tools foi possível achar... Segue print da evidência.

Então cuidado, não utilizar este client até que seja resolvido este problema. Deixar a chave exposta ali é muito arriscado...

OBS: chave privada ali no print é uma conta apenas de teste.

Vou tentar entrar em contato coms devs deste client (NOSTTER.APP) pra sinalizar eles desta falha de segurança.

Boa noite, minha honra, magnatas!! Fui
Avatar
👑Bom-em-nada Juliano 1y ago

Bom dia, só pra adicionar aqui. Quem descobriu isto foi o nostr:npub1x6mv9cxqquv0qja4836947cappn0veq2ndghd6ymuncdxzumkasqvkkm9a AKA MR. FOSTER

Reply to this note

Please Login to reply.

Discussion

36
Mr Foster 1y ago

nostr:npub124rja8qp7dartasr9wdh3kk78phxunzhmq8ar5ryd2anj2qwtcnsz3tuhs nostr:npub1du57w98d4sgjzeqz8wntk7w09855txtk87m45s4r9uy7xeare96qrat5sk Em uma olhada rasa em alguns clientes (noStrudel, Noster.app) de fato ambos armazenam a nsec em texto aberto no browser.

Entendo que em teoria, a localstorage é segura. Mas sabemos que ataques XSS são muito comuns. Roubar um JWT não é um problema tão grande, mas uma nsec sim.

Deveríamos propor uma prática melhor à comunidade ao armazenar estas credenciais.