CIRCLE WITH A DOT

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

wpalant@infosec.exchange

@wpalant@infosec.exchange

Topics

W

Note how LastPass PR offloaded a ton of buzzwords here that don’t actually mean anything.
Watching Ignoring Scheduled Pinned Locked Moved Uncategorized lastpass infosec
1

0 Votes

1 Posts

0 Views

W

Note how LastPass PR offloaded a ton of buzzwords here that don’t actually mean anything. They turned this kind of responses into an art. https://arstechnica.com/security/2026/02/password-managers-promise-that-they-cant-see-your-vaults-isnt-always-true/Bitwarden at least admits that a fully compromised server isn’t part of their threat model. It’s the same for LastPass, and in the past they’ve rejected vulnerability submissions based on that – there are a number of very simple ways in which a compromised server is able to access your “secure” vault. But they won’t admit it, hoping instead that the message will drown in the noise they produce.For the sake of completeness: Dashlane’s response is merely generic. 1Password’s response is correct from what I can tell: the “compromised server” scenario has been considered and the risks arising from it are documented, nothing new here. #LastPass #infosec
W

@lasagne Es ist eine recht typische Situation, dass ein Baustein kompromittiert ist, andere Bausteine aber eine erfolgreiche Ausnutzung zunächst verhindern.
Watching Ignoring Scheduled Pinned Locked Moved Uncategorized
1

0 Votes

1 Posts

0 Views

W

@lasagne Es ist eine recht typische Situation, dass ein Baustein kompromittiert ist, andere Bausteine aber eine erfolgreiche Ausnutzung zunächst verhindern. Wenn bei einem solchen Problem die Antwort "in der Praxis nicht relevant" kommt, sollte man das Produkt dringend meiden. Denn das ist, wie du schon sagst, eine sehr problematische Einstellung.Soatok scheint ja bereits Umstände identifiziert zu haben, wo das Problem trotzdem ausnutzbar ist. Und selbst wenn nicht, ist es oft nur eine Frage der Zeit. Ich hatte diese Situation schon mehrmals: eine von mir gemeldete Sicherheitslücke wird nicht geschlossen, weil ich nicht demonstrieren kann, dass sie ausnutzbar ist. Wenig später findet jemand anders dann doch einen Weg.Wenn man Sicherheit ernst nimmt, verlässt man sich nicht darauf, dass Sicherheitslücken auf einer Ebene von anderen Ebenen kaschiert werden. Vielleicht ist es dann nicht ganz so dringend, aber man schließt die Lücke trotzdem.
W

This is old news for some but way too many people didn’t get the notice: do not trust Matrix crypto.
Watching Ignoring Scheduled Pinned Locked Moved Uncategorized matrix matrixmessenger infosec
1

0 Votes

1 Posts

0 Views

W

RE: https://furry.engineer/@soatok/116088639302283341This is old news for some but way too many people didn’t get the notice: do not trust Matrix crypto. It’s not that they have issues (who doesn’t), it’s their approach which is the opposite of taking security seriously.#Matrix #MatrixMessenger #infosec

CIRCLE WITH A DOT

wpalant@infosec.exchange

Topics

Note how LastPass PR offloaded a ton of buzzwords here that don’t actually mean anything.

@lasagne Es ist eine recht typische Situation, dass ein Baustein kompromittiert ist, andere Bausteine aber eine erfolgreiche Ausnutzung zunächst verhindern.

This is old news for some but way too many people didn’t get the notice: do not trust Matrix crypto.