ZeroBin – sdílení textů (diskuse)

Me napada ze to nemusi byt kezeny je na text a stejny princip.by mohl pouzit tteereba rapidshare ... I kdyz rozbalovat treba 2gb v js browseru..

1.5.2012 22:35 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

V principe mozes client side sifrovat uz teraz. (Minimalne archivy z heslom su pomerne bezne, nech uz je to bezpecne akokolvek)

Computers are not intelligent. They only think they are.

1.5.2012 22:39 l4m4
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

Archivy s heslem jsou v principu bezpečnější než toto, protože distribuční kanály hesla a odkazu na archiv jsou zcela oddělené.

1.5.2012 22:54 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

To jo, ale chtělo by to nějak standardizovat, aby šlo dešifrovat už během stahování – takhle musíš všechno stáhnout na disk a pak to teprve prohnat přes procesor a uložit na jiné místo na disku.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

2.5.2012 15:17 luky
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

wget -O - | whatever ;-)

2.5.2012 17:47 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

Jo, souhlas, ale když stahuješ třeba z nějaké služby, kde musíš opisovat kód nebo na něco klikat, tak to není zrovna pohodlné – musel bys stopnout stahování, které začal prohlížeč, zkopírovat si URL a stáhnout přes wget (a doufat, že tě to server nechá stáhnout podruhé).

P.S. a ano, je to primárně chyba těch služeb – za normálních okolností by to byl obyčejný odkaz, který by sis prostě zkopíroval…

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

2.5.2012 18:18 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

Není problém v tom, že tvůj prohlížeč neumí poslat stahovaný soubor pajpou do stdin libovolného procesu?

(můj bohužel taky ne)

2.5.2012 18:28 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

To taky

Někde jsem viděl plugin do FF, který předává* ty stahované soubory KGetu a ten je stahuje. To by možná šlo použít – místo KGetu by byl jiný program, který by pozdržel stahování (nebo spíš stahoval do bufferu) a zeptal se tě, co s tím chceš dělat – třeba bys mohl napsat příkaz, kterému to předat rourou. Možné to určitě je, otázka je, jestli už to někdo napsal…

*) a často bude potřeba předat kromě URL i sušenky nebo HTTP Basic jméno a heslo.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Problém je, že to nijako nerieši "man-in-the-middle" útoky, takže to až tak bezpečné nie je.

1.5.2012 23:12 ASS
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

a co https pristup? :)

2.5.2012 11:45 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

Tím si moc nepomůžeš. Provozovatel si to může odposlechnout tak jako tak a různé instituce si můžou bez problému pořídit vhodný certifikát.

Hello world ! Segmentation fault (core dumped)

2.5.2012 12:56 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

S tím certifikátem to není tak jednoduché a taky uživatel může mít něco jako Certificate Patrol a podvrhu si všimne.

Serveru ale potřeba věřit je, to je fakt -- tedy pokud nebudeš pokaždé číst ten JavaScript*. Tady je řešením ten desktopový klient -- pak se ze serveru stává skutečně jen poskytovatel diskového a adresního prostoru, ale do dat ti koukat nemůže (maximálně je může smazat, ale neví, co maže).

*) BTW: tady by se celkem hodilo nějaké podepisování kódu -- dejme tomu, že věřím autorovi aplikace, ale nevěřím provozovateli, tak bych kontroloval, zda kód neupravil. Nebo by aspoň prohlížeč mohl upozorňovat, že se JS od minule změnil...

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

JS kód na šifrování vám posílá server při každé session, ne? Co když se v něm jednoho dne objeví backdoor?

2.5.2012 13:36 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

No, posílá ho jen poprvé (pak už chodí HTTP 304 Not Modified), ale toho si uživatel stejně nevšimne, jestli se něco nezměnilo a nestahoval se znova...

Napsal jsem si BASH skript, který zašifruje standardní vstup náhodným klíčem pomocí OpenSSL a pošle na server, akorát to má drobnou vadu v tom, že server používá AES v CCM režimu (pravděpodobně) a můj OpenSSL ho neumí. BouncyCastle* knihovna to umí a zatím to vypadá jako jediná možnost, jak udělat desktopového klienta.

Taky by šlo interpretovat na desktopu ten původní JavaScript, ale říkal jsem si, že by bylo fajn mít dvě nezávislé implementace, aby se ověřilo, že to skutečně funguje a šifruje správně.

*) ale to je zase Java, na to se bude spousta lidí hnusně tvářit, i když mně osobně to nevadí

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

2.5.2012 14:33 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

Jo, to je slabina tohohle systému. Řešit by to mohl 1) extension do browseru, což není úplně praktické, nebo a lépe 2) Crypto API v prohlížeči, což by do budoucna vůbec nebylo špatné.

SPD vůbec není proruská

2.5.2012 16:05 Harvie.CZ
Rozbalit Rozbalit vše Re: ZeroBin – sdílení textů

Existuji ruzne pluginy do prohlizecu... Opravdu se mi libi "encrypt the cloud", ktery je bohuzel symetricky... vic by se mi libil, kdyby treba pouzil kod "GPG4Browsers", tak by byl pro me zajimavejsi...