Gerne mal Tutorials zu "Wie findet man sich am schnellsten/besten in einem unbekannten Projekt zurecht (auch wenns schlechter code ist).", das wäre mega hilfreich.
Ich habe dieses Video gemeint. Schau beide nochmal an. Habe mit Passbolt angesehen. Ich war etwas skeptisch. Du hast doch die Repo angesehen, welche Communitys stark beim Übersetzen sind. Hochinteressante Combi... Mittlerweile bin ich begeistert (vom Doppeltem Content). Werde passbolt selbst hosten und versuchen das Team zu Unterstützen (Passbolt) und ChatGPT oder KI's die Lokal laufen allgemein. Das Promten muss definitiv gelernt sein!
6:47: Ich frage ich, wie die Anmeldung einer Identität an der Datenbank, welche die Passwörter enthält, in der Realität funktioniert. Macht das die Browsererweiterung im Hintergrund? Sprich: - User möchte sich inizial anmelden - User (Browsererweiterung) erhält das verschlüsselte PW - Browsererweiterung verschlüsselt es mit dem privaten Key des Users??? Wie läuft das? Es wird ja offensichtlich nicht das Chalenge-Response-Verfahren verwendet... Danke für eine kurze Aufhellung. 🙂
Das sind die einzelnen Schritte im Detail, wie die Anmeldung einer neuen Identität in der Datenbank funktioniert: 1. Ein Benutzer klickt im Formular-Menü auf "Generate a new password securely". 2. Die über das Formular-Menü aufgerufene Anwendung fordert die Seite im Hintergrund auf, das darin enthaltene Passwortfeld des Formulars mit dem neu generierten Secret zu füllen. Das Secret wird über den zwischen beiden Anwendungen geöffneten Kommunikationsport vom IFrame des Formular-Menüs zur Hintergrundseite übertragen. 3. Nach Erhalt der Anfrage fordert die Hintergrundseite die Web-Integrationsanwendung auf, das Passwortfeld im Webformular mit dem neu generierten Secret zu füllen. Die Web-Integration ist das Layer zwischen der Passbolt Browser-Extension und Web-formularen. Das Secret wird dann über den zwischen beiden Anwendungen geöffneten Kommunikationsport von der Hintergrundseite zur Web-Integrationsanwendung übertragen. 4. Die Web-Integration füllt das Passwort-Formularfeld und wartet auf ein Benutzer-Submit-Ereignis. Wenn der Benutzer das Formular absendet, fordert die Web-Integration die Hintergrundseite auf, den Auto-Save-Prozess zu starten. 5. Die Hintergrundseite speichert das Secret in einem Speicher, auf den nur sie selbst zugreifen kann (chrome.storage.session). 6. Die Hintergrundseite zerstört des Secret, falls es nicht innerhalb von 6 Sekunden verwendet wird oder in der Zwischenzeit ein Logout erfolgt. 7. Die Quickaccess-Anwendung wird im "Detached Mode" gestartet. 8. Quickaccess fordert von der Hintergrundseite das Secret an. Das Secret wird entgegen genommen und über den Kommunikationsport zwischen diesen beiden Anwendungen gesendet. 9. Quickaccess zeigt das Auto-Save-Formular an. 10. Beim Absenden fordert Quickaccess die Hintergrundseite auf, die neu erstellte Ressource zu speichern. Die Ressourcen-Metadaten und das Secret werden über einen zwischen beiden Anwendungen geöffneten Kommunikationsport gesendet. 11. Die Hintergrundseite führt die Speicherung durch, wie bei jeder anderen Ressourcen-Erstellung. Das Geheimnis wird mit dem öffentlichen GPG-Schlüssel des Benutzers, der lokal gespeichert ist, verschlüsselt. Anschließend wird die Ressource an den Server gesendet. Hoffe, das erklärt den Prozess, sonst fragt einfach nach.
@@moebel_spendenIch denke gerade Lastpass möchte gar nicht, dass die Kunden das so genau verstehen. Die glänzen durch Intransparenz. Ich finde auf ihrer Webseite keinen Hinweis auf asymmetrische Verschlüsselung.
Noob Frage Code Reviews: Wird der ges. Code durchgeschaut, um sicherzugehen, dass er sicher ist? Gibt es irgendwo eine Community, Dienstleiser, der so etwas macht? Wie wird so etwas vom Dienstleister nachgewiesen - dass alles durchgeschaut u. sicher ist? Was kostet so etwas, zB für ein VST Plugin wie Goyo? Muss er Code mt jedem Update reviewed werden?
Gerne mal Tutorials zu "Wie findet man sich am schnellsten/besten in einem unbekannten Projekt zurecht (auch wenns schlechter code ist).", das wäre mega hilfreich.
Ich habe dieses Video gemeint. Schau beide nochmal an.
Habe mit Passbolt angesehen. Ich war etwas skeptisch. Du hast doch die Repo angesehen, welche Communitys stark beim Übersetzen sind. Hochinteressante Combi... Mittlerweile bin ich begeistert (vom Doppeltem Content). Werde passbolt selbst hosten und versuchen das Team zu Unterstützen (Passbolt) und ChatGPT oder KI's die Lokal laufen allgemein.
Das Promten muss definitiv gelernt sein!
6:47: Ich frage ich, wie die Anmeldung einer Identität an der Datenbank, welche die Passwörter enthält, in der Realität funktioniert.
Macht das die Browsererweiterung im Hintergrund? Sprich:
- User möchte sich inizial anmelden
- User (Browsererweiterung) erhält das verschlüsselte PW
- Browsererweiterung verschlüsselt es mit dem privaten Key des Users???
Wie läuft das? Es wird ja offensichtlich nicht das Chalenge-Response-Verfahren verwendet...
Danke für eine kurze Aufhellung. 🙂
Ja, dass frage ich mich auch. Bei Lastpass passiert es immer wieder dass Teammitglieder das echte PW sehen
Das sind die einzelnen Schritte im Detail, wie die Anmeldung einer neuen Identität in der Datenbank funktioniert:
1. Ein Benutzer klickt im Formular-Menü auf "Generate a new password securely".
2. Die über das Formular-Menü aufgerufene Anwendung fordert die Seite im Hintergrund auf, das darin enthaltene Passwortfeld des Formulars mit dem neu generierten Secret zu füllen. Das Secret wird über den zwischen beiden Anwendungen geöffneten Kommunikationsport vom IFrame des Formular-Menüs zur Hintergrundseite übertragen.
3. Nach Erhalt der Anfrage fordert die Hintergrundseite die Web-Integrationsanwendung auf, das Passwortfeld im Webformular mit dem neu generierten Secret zu füllen. Die Web-Integration ist das Layer zwischen der Passbolt Browser-Extension und Web-formularen. Das Secret wird dann über den zwischen beiden Anwendungen geöffneten Kommunikationsport von der Hintergrundseite zur Web-Integrationsanwendung übertragen.
4. Die Web-Integration füllt das Passwort-Formularfeld und wartet auf ein Benutzer-Submit-Ereignis. Wenn der Benutzer das Formular absendet, fordert die Web-Integration die Hintergrundseite auf, den Auto-Save-Prozess zu starten.
5. Die Hintergrundseite speichert das Secret in einem Speicher, auf den nur sie selbst zugreifen kann (chrome.storage.session).
6. Die Hintergrundseite zerstört des Secret, falls es nicht innerhalb von 6 Sekunden verwendet wird oder in der Zwischenzeit ein Logout erfolgt.
7. Die Quickaccess-Anwendung wird im "Detached Mode" gestartet.
8. Quickaccess fordert von der Hintergrundseite das Secret an. Das Secret wird entgegen genommen und über den Kommunikationsport zwischen diesen beiden Anwendungen gesendet.
9. Quickaccess zeigt das Auto-Save-Formular an.
10. Beim Absenden fordert Quickaccess die Hintergrundseite auf, die neu erstellte Ressource zu speichern. Die Ressourcen-Metadaten und das Secret werden über einen zwischen beiden Anwendungen geöffneten Kommunikationsport gesendet.
11. Die Hintergrundseite führt die Speicherung durch, wie bei jeder anderen Ressourcen-Erstellung. Das Geheimnis wird mit dem öffentlichen GPG-Schlüssel des Benutzers, der lokal gespeichert ist, verschlüsselt. Anschließend wird die Ressource an den Server gesendet.
Hoffe, das erklärt den Prozess, sonst fragt einfach nach.
@@moebel_spendenIch denke gerade Lastpass möchte gar nicht, dass die Kunden das so genau verstehen. Die glänzen durch Intransparenz.
Ich finde auf ihrer Webseite keinen Hinweis auf asymmetrische Verschlüsselung.
Mein zweiter Punkt ;-)
2. check if sufficient measures are taken for data protection, both for the user and the operator.
Kannst du dein CRAN Text teilen?
save, mehr davon. Also im Speziellen dieses eintauchen in die Praxis. Ich nehme mir da viel mehr raus, allgemeine Tipps und Vorgehensweisen.
Könnte man es auch mit Bing GPT_4 oder sogar mit Bart und oder ( chat GPT 3.5 von openai ) Machen ?
Noob Frage Code Reviews:
Wird der ges. Code durchgeschaut, um sicherzugehen, dass er sicher ist?
Gibt es irgendwo eine Community, Dienstleiser, der so etwas macht?
Wie wird so etwas vom Dienstleister nachgewiesen - dass alles durchgeschaut u. sicher ist?
Was kostet so etwas, zB für ein VST Plugin wie Goyo?
Muss er Code mt jedem Update reviewed werden?