2 τρόποι για να κρυπτογραφήσετε τα αρχεία σας από το πρόγραμμα περιήγησής σας

Γιάννης,

Αυτό είναι απλώς ανοησία. Το τμήμα που δεν είναι ανοιχτού κώδικα είναι ο χειρισμός αρχείων από την πλευρά του διακομιστή. Ο κώδικας που δημοσιεύεται δείχνει ακριβώς τι μεταφορτώνεται και πώς. Το γεγονός ότι ο καθένας μπορεί να δει τον πηγαίο κώδικα και να δει τι κάνει είναι αυτό ακριβώς που σημαίνει διαφάνεια. Είναι ο έντιμος κώδικας που εκτελείται απευθείας στον ιστότοπο. Δεν υπάρχει τίποτα να κρύψει σε αυτό. Είναι κρυπτογραφημένο εξ ολοκλήρου από την πλευρά του πελάτη, το οποίο είναι επαληθεύσιμο (υποθέτοντας ότι είστε σε θέση να διαβάσετε/καταλάβετε τον κώδικα). Επιπλέον, ο κώδικας δημοσιεύεται στο GitHub. Δεν είμαι ακόμα σίγουρος γιατί συνεχίζεις με το SourceForge.

Ίσως αντί να καταρρίψετε το έργο, θα μπορούσατε να κάνετε την έρευνά σας, να κάνετε ερωτήσεις ή τουλάχιστον να μην εκτοξεύετε απλώς αβάσιμους και λανθασμένους ισχυρισμούς. Το παίρνω προσωπικά γιατί γράφεις πράγματα που είναι ανακριβή για το έργο. Επίσης, αντί να κοιτάτε όλο τον κώδικα που έχει γράψει ο Sam ή έργα στα οποία συνεισφέρει δημόσια GitHub, προσπαθείς να επιτεθείς στον χαρακτήρα του από μια εκκίνηση που δεν λειτουργεί, που είναι η διεύθυνση email του δεμένος σε? Αυτό πρέπει να ήταν ένα κακόγουστο αστείο.

Γιάννης,

Υποθέτω ότι απλά δεν είστε πολύ εξοικειωμένοι με το λογισμικό ανοιχτού κώδικα και ποιο είναι το πρότυπο για τέτοιου είδους πράγματα. Δεν πειράζει - ολόκληρη η κοινότητα κινείται πολύ γρήγορα, και ειδικά τα τελευταία χρόνια. Το SourceForge είναι ένας δεινόσαυρος, αμαύρωσε τη φήμη του πριν από μήνες με διαχειριστές λήψεων και κακόβουλους εγκαταστάτες γραμμών εργαλείων, και η πλειοψηφία του ενεργού ανοιχτού κώδικα ζει τώρα στο GitHub. Στην πραγματικότητα, είναι πολύ πιο ανοιχτό στη γενική κοινότητα στο GitHub από ό, τι ήταν ή θα ήταν ποτέ στο SourceForge.

Το Securesha.re είναι ένα νέο είδος webapp όπου η πλειονότητα της λειτουργικότητας λαμβάνει χώρα απευθείας στον πελάτη, σε απλή προβολή. Για να δείξω τη δέσμευσή μου σε αυτό, δεν ελαχιστοποιώ ή συσκοτίζω κανέναν κώδικα στον ιστότοπο (το οποίο είναι τυπικό, απλώς για αποθήκευση στο μεταδιδόμενο μέγεθος του ιστότοπου). Χρειάζεται ένα ορισμένο ποσό τεχνογνωσίας κωδικοποίησης για να επαληθευτεί ότι η κρυπτογράφηση έχει γίνει σωστά και ένα συγκεκριμένο ποσό για να επαληθευτεί ότι τα αιτήματα αποστέλλονται σωστά χωρίς πληροφορίες αναγνώρισης. Αν κάποιος μπορεί να κάνει το πρώτο, σίγουρα μπορεί να κάνει και το δεύτερο. Η επαλήθευση των αιτημάτων διαρκεί κυριολεκτικά λιγότερο από λίγα λεπτά. Μετά από όλα, κάνει μόνο δύο: ένα για να ανεβάσετε ένα αρχείο και ένα για να το κατεβάσετε.

Πριν από περίπου ένα χρόνο, ένα μικρό πλήθος χρηστών στο Hacker News έριξε μια ματιά στον ιστότοπο αφού το ανακοινώσαμε. Η ετυμηγορία τους; Λειτουργούσε καλά, θα έπρεπε πιθανώς να δημιουργήσει μεγαλύτερους κωδικούς πρόσβασης, ήταν λίγο μπερδεμένο. Αυτά ήταν απλά πράγματα για να διορθωθούν - έτσι διόρθωσα όλα αυτά τα ζητήματα και ο ιστότοπος αναδεύει ευχάριστα αρχεία μέρα με τη μέρα από τότε.

Καταλαβαίνω ότι πιστεύετε ότι τα σχόλιά σας είναι ειλικρινή, αλλά δεν είναι ακριβή.

Μη διστάσετε να ελέγξετε τον κώδικα τόσο στο web inspector όσο και στο https://github.com/STRML/securesha.re-client/tree/master/polymer - η πιο πρόσφατη έκδοση του ιστότοπου χρησιμοποιεί Web Components, επομένως είναι πολύ εύκολο να το παρακολουθήσετε μόλις κατανοήσετε τα βασικά.

Στο τέλος, εάν θέλετε να χρησιμοποιήσετε μια υπηρεσία που χειρίζεται τα προσωπικά σας δεδομένα, πρέπει είτε να την εμπιστευτείτε τυφλά, είτε να διαβάσετε τον κωδικό. Η συντριπτική πλειονότητα των υπηρεσιών που χειρίζονται τα προσωπικά σας δεδομένα (Gmail, Dropbox κ.λπ.) δεν έχουν διαθέσιμο στο κοινό πηγαίο κώδικα. Αυτό το έργο κάνει. Αν δεν με πιστεύετε, διαβάστε τον κώδικα. Εάν δεν μπορείτε να διαβάσετε τον κώδικα, ρωτήστε κάποιον που μπορεί. Πιστεύω ότι το Securesha.re καλύπτει μια ιδιαίτερα σημαντική θέση επειδή η ορθότητά του *μπορεί* να επαληθευτεί, σε αντίθεση με τις πολλές υπηρεσίες ασφαλείας κλειστού κώδικα εκεί έξω.

Ελπίζω να ξεκαθαρίσει κάποια πράγματα.

Γεια σου Γιάννη, έγραψα το safesha.re για ένα hackathon Angelhack στα τέλη του 2012 (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). Ο κώδικας είναι δωρεάν διαθέσιμος στο GitHub (https://github.com/STRML/securesha.re-client) ώστε οποιοσδήποτε να μπορεί να ελέγξει τον κώδικα.

Είναι αρκετά απλό - στην πραγματικότητα, τόσο απλό, το έχω ξαναγράψει σε μερικά μεγάλα πλαίσια web ως πείραμα προγραμματισμού. Το backend δεν είναι τίποτα άλλο από απλή αποθήκευση αρχείων με παραμέτρους αυτόματης διαγραφής - θα διαγράψει τα αρχεία σας μετά από έναν ορισμένο αριθμό προβολών ή εάν φτάσουν σε μια συγκεκριμένη ηλικία. Αν και αυτό το τμήμα δεν είναι ανοιχτού κώδικα, είναι πράγματι πολύ απλό να επαληθευτεί ότι δεν υπάρχουν δεδομένα αναγνώρισης ή οι κωδικοί πρόσβασης αποστέλλονται στον διακομιστή μου - εκτελέστε την εφαρμογή με ανοιχτό τον επιθεωρητή ιστού, εάν δεν πιστεύετε μου.

Όσο για τον "ύποπτο ιστότοπο συλλογής χρημάτων" - το Tixelated ήταν ένα διασκεδαστικό πείραμα που κλείσαμε πριν από περίπου 6 μήνες (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Στο μεταξύ έχω δουλέψει και σε άλλα έργα, αλλά τίποτα δημόσιο ακόμα.

Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με την εφαρμογή, θα χαρώ πολύ να τις απαντήσω. Προς το παρόν, είναι απλώς μια απόδειξη της ιδέας του ιστότοπου και είναι ασφαλής στη χρήση, αλλά αν αντιμετωπίσετε σφάλματα, υποβάλετε Ζητήματα στο αποθετήριο GitHub και θα τα διορθώσω γρήγορα.

Ευχαριστώ που κοιτάξατε τον ιστότοπο. Δεν περίμενα να πιέσω κανέναν Τύπο για αυτό τώρα - αυτό το άρθρο προκάλεσε μια αναφορά στο Lifehacker και τώρα λαμβάνω αρκετά μηνύματα ηλεκτρονικού ταχυδρομείου για ένα (σχετικά) παλιό έργο!

Δεν μπορώ να μιλήσω για το εργαλείο #1, αλλά το σχόλιό σας είναι ανόητο για το SecureSha.re. Αποποίηση ευθύνης: Ήμουν στην αρχική ομάδα που το δημιούργησε στο AngelHack.

Δεν υπάρχει τρόπος να επαληθεύσετε την αυθεντικότητα του ιστότοπου; Δημοσιεύεται ολόκληρος ο πηγαίος κώδικας. Όλα συμβαίνουν στην πλευρά του πελάτη στο javascript, ώστε να μπορείτε να δείτε ό, τι κάνει. Το μόνο που κάνει είναι να αποθηκεύει ένα δυαδικό αρχείο (κρυπτογραφημένο ήδη από εσάς, στο πρόγραμμα περιήγησής σας). Πραγματικά δεν έχεις ιδέα για τι πράγμα μιλάς.