mas chegou

Bom dia, apenas aos inimigos do Estado

Os 10 primeiros que postar:

Bom dia, apenas aos inimigos do Estado

Ganha 100 SATs cada.

Nesse caso não daria pra usar JWT da mesma forma que fazemos pra autenticar um usuário em aplicações web normalmente?

IMPORTANTE!!!!!!!!!!!

PRA QUEM USA O NOSTTER.APP !!!!!!!!!!!!

Gurizada, o nostter.app armazena a NSEC de maneira exposta, qualquer programa ou extensão que tiver acesso ao sessionstorage vai ter acesso às tuas chaves privadas.

NÃO USEM ATÉ QUE SEJA CORRIGIDO.

Simplesmente ao abrir o dev-tools foi possível achar... Segue print da evidência.

Então cuidado, não utilizar este client até que seja resolvido este problema. Deixar a chave exposta ali é muito arriscado...

OBS: chave privada ali no print é uma conta apenas de teste.

Vou tentar entrar em contato coms devs deste client (NOSTTER.APP) pra sinalizar eles desta falha de segurança.

Boa noite, minha honra, magnatas!! Fui

O comedor de cu vai fazer assim👎🏻cima de você também quando estiver dormindo KKKKKKKKKKKKKKKKK

IMPORTANTE!!!!!!!!!!!

PRA QUEM USA O NOSTTER.APP !!!!!!!!!!!!

Gurizada, o nostter.app armazena a NSEC de maneira exposta, qualquer programa ou extensão que tiver acesso ao sessionstorage vai ter acesso às tuas chaves privadas.

NÃO USEM ATÉ QUE SEJA CORRIGIDO.

Simplesmente ao abrir o dev-tools foi possível achar... Segue print da evidência.

Então cuidado, não utilizar este client até que seja resolvido este problema. Deixar a chave exposta ali é muito arriscado...

OBS: chave privada ali no print é uma conta apenas de teste.

Vou tentar entrar em contato coms devs deste client (NOSTTER.APP) pra sinalizar eles desta falha de segurança.

Boa noite, minha honra, magnatas!! Fui

💩👍🏻

Armazenar chaves privadas em banco de dados é de longe uma desgraça kkk, não faça isso.

Boa descoberta no cliente nostter, as chaver serem guardadas em localStorage dessa forma em texto aberto é uma desgraça, compartilhe com mais pessoas ou se possível, notifique os desenvolvedores do cliente.

A forma mais adequada, que não é a coisa mais segura do mundo mas ao menos é uma redundância, é salvar em localstorage, porém criptografada com uma senha que o usuário defina, assim, a chave privada pode ser encontrada no localStorage, mas só pode ser descriptografada com a senha que o cliente digitou. essa senha não deve ser salva, fica em memória apenas enquando o usuário não faz reload da página, quando ele entra novamente, para assinar eventos, solicita a senha novamente para descriptografar a nsec e guardar em memória novamente em hexadecimal.

A nsec NUNCA deve transitar na internet até o back-end, e você jamais deve armazenar chaves privadas de usuários, mesmo nesse caso do cliente nostter, a chave está na máquina do usuário, ele só perde ela se a maquina dele for comprometida, mas salvar em texto aberto assim é uma forma porca de se fazer.