Oddbean new post about login | logout IMPORTANTE!!!!!!!!!!! PRA QUEM USA O NOSTTER.APP !!!!!!!!!!!! Gurizada, o nostter.app armazena a NSEC de maneira exposta, qualquer programa ou extensão que tiver acesso ao sessionstorage vai ter acesso às tuas chaves privadas. NÃO USEM ATÉ QUE SEJA CORRIGIDO. Simplesmente ao abrir o dev-tools foi possível achar... Segue print da evidência. Então cuidado, não utilizar este client até que seja resolvido este problema. Deixar a chave exposta ali é muito arriscado... OBS: chave privada ali no print é uma conta apenas de teste. Vou tentar entrar em contato coms devs deste client (NOSTTER.APP) pra sinalizar eles desta falha de segurança. Boa noite, minha honra, magnatas!! Fui https://image.nostr.build/09f4fdf21aaa3913a565956e3ef562a4ffb29a06725589bf2dcdaa4bbd066b9b.png
Já usei esse cliente (faz muito tempo), mas utilizando a extensão desktop. Na minha humilde opinião, exigir senha do user é um saco. Prefiro que fique dessa forma "exposta". Basta ter cuidado com as dependências usadas no projeto.
Não precisa nescessariamente pedir senha, mas deixar em texto aberto é foda kkk Ao menos tornar um pouco mais difícil o trabalho de um hacker, o cara pode conseguir acesso ao seu localstorage do navegador mais ainda vai ter que ao menos descifrar algo pra conseguir a nsec pow kkk
Também acho meio incoveniente, mas existem formas melhores doque pedir senha
Caralho, acessei a agora mesmo. Faço o q, agora?
Apague esse comentário
Podem roubar esse chave privada. Foda-se, eu crio outra. Essa é a vantagem do NOSTR. Seria interessante um forma de verificação com PGP de perfis....
Pois é, mas é sempre bom tomar cuidado
Kkk fica tranquilo, não tem problema. Pra alguém conseguir acesso a sua chave privada, tem que ter acesso a sua máquina, ou ao storage do seu navegador. Resumindo, só se você for hackeado ou coisa do tipo. O problema desse cliente é que ele salva na sua máquina, a sua nsec em texto aberto, sem criptografar, então fique tranquilo, você não terá problemas.
Alerta pro pessoal que usa esse cliente nostr:nevent1qqszz3xsfy0lmze5luqphhrp36nwxnqvp89nedygxadsln2atas0h5qpr4mhxue69uhkummnw3ezucnfw33k76twv4ezuum0vd5kzmp0qgsx7208znk6cyfpvsprhf4m088jn629n9mrld66g23j7z0rv73ujaqrqsqqqqqps6mw3e
Fiz um estudo sobre a forma correta de se armazenar a chave privada no navegador. O certo seria usar essa api, que evita a chave ser acessível através de código js: https://developer.mozilla.org/en-US/docs/Web/API/SubtleCrypto/generateKey
@npub124rja8qp7dartasr9wdh3kk78phxunzhmq8ar5ryd2anj2qwtcnsz3tu👆
Nesse caso não daria pra usar JWT da mesma forma que fazemos pra autenticar um usuário em aplicações web normalmente?
Não daria certo, pois o cliente precisa assinar eventos, ou seja, precisa ter acesso à chave privada. JWT só é utilizado para verificação.
Bom dia, só pra adicionar aqui. Quem descobriu isto foi o @36b6c2e0 AKA MR. FOSTER
@👑 Mises Dev @👑Bom-em-nada Juliano Em uma olhada rasa em alguns clientes (noStrudel, Noster.app) de fato ambos armazenam a nsec em texto aberto no browser. Entendo que em teoria, a localstorage é segura. Mas sabemos que ataques XSS são muito comuns. Roubar um JWT não é um problema tão grande, mas uma nsec sim. Deveríamos propor uma prática melhor à comunidade ao armazenar estas credenciais.
