23:35
23/4/2012

* AnonPaste.tk

Anonimowi uruchomili “bezpieczną” wersję Pastebina – AnonPaste.tk. Serwis pozwala na przesyłanie dowolnych treści, przy czym serwer je hostujący nie jest ich świadomy — do ich rozszyfrowania wykorzystywany jest bowiem klucz tworzony przy “zakładaniu” wiadomości, a przenoszony w URL-u.

Nie róbcie reloadu strony, bo klucz wycieknie do serwera w nagłówku Referer ;)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

11 komentarzy

Dodaj komentarz
  1. a nie dupa.8?

    • to samo przyszło mi na myśl ;]

  2. Zgłupiałem. Skoro hasło jest częścią URLa to w jaki niby sposób serwer go ma nie znać? Zamyka oczy?

    • hint: “#” ;)

    • “AnonPaste is based on the open source ZeroBin software. It is a minimalist, opensource online pastebin where the server has zero knowledge of pasted data. Data is encrypted/decrypted in the browser using 256 bits AES. ”
      hint: “encrypted/decrypted in the browser” ;)

  3. A skąd ta pewność, że klucza nie trzyma się w bazie? Nawet jeśli jest przekazywany w URLu, to przecież został wygenerowany przez serwer. I w tym momencie mógł zostać dopisany do bazy razem z treścią notatki. Mam uwierzyć na słowo, że nie?

  4. trust nobody….

    zastanawiam się tylko po co to tak “na prawdę” komuś…
    jak już coś przekazywać to raczej kluczem publicznym adresata…
    anonimowi nawet jak TO oni zrobili na 100% to nadal tylko ludzie.

    choć faktycznie w nagłówkach nie widać żeby przesyłali na serwer coś poza zaszyfrowaną wiadomością i robią salta też cyrkowcy… ale zrobiłem pobieżny przegląd, wiec kto wie czy jakiejś steganografii miedzy bajtami nie stosują…

    [
    %7B%22iv%22%3A%22TN7WMa3yktQIFQSfXkmM2Q%22%2C%22salt%22%3A%22%2FF9dsL4tC2Q%22%2C%22ct%22%3A%22kYG0NjZmMkwFx1rRE12oX0i3lJ7Pp2uttwCakM0JDFE%22%7D&expire=1month
    ] =
    {
    “iv”:”TN7WMa3yktQIFQSfXkmM2Q”,”salt”:”/F9dsL4tC2Q”,”ct”:”kYG0NjZmMkwFx1rRE12oX0i3lJ7Pp2uttwCakM0JDFE”
    } + expire;

    Tylko ten salt mnie trochę martwi, że zapisują(w domyśle) ale cóż. może to już paranoja.
    Ale załóżmy(??!!) że nas nikt nie podsłuchuje(!!!???)…

    A nie widziałem żadnych połączeń nawet ajaxem z tym naszym kluczem do serwera.
    Na razie…
    Kto wie może Ktoś, kiedyś doda taki kawałek kodu, jak już się przyjmie(?) usługa…

  5. No właśnie, wszystko jest cacy dopóki możemy sprawdzić, czy kod jest faktycznie tam w JS i nikt w nim nie dłubał. Ale ile % ludzi jest w stanie przeprowadzić taką analizę jak subiektywny_gosc? Ja np. nie, dlatego od wszystkiego z pieczęcią Anonów trzymam ważne dane z daleka ;)

  6. Chciałem napisać portal społecznościowy z wbudowaną anonimowością i poufnością danych. Przeprowadziłem jednak analizę pomysłu, i prawdziwym show-stopperem nie były wcale słabości kryptograficzne systemu, a sama jego “webowość” – po prostu bez ładowania programu z zaufanego nośnika, nie ma żadnych gwarancji niczego. I właśnie tu “chmura WWW” przestaje być użyteczna, kiedy nie mamy lokalnego, dedykowanego i, co kluczowe, jawnego pod względem kodu, klienta. A przy pisaniu klientów są naprawdę duże problemy z przenośnością – i wracamy do punktu wyjścia, aplikacje webowe!
    Siedzę na koniu.

  7. Myślę że większość komentatorów ma złe podejście. IMHO nie chodzi tu o bycie 100% pewnym że serwer nie dostanie tej informacji – serwer nie chce dostać tej informacji. Cała zabawa jest właśnie po to, aby on jej nie miał i aby ktoś nie mógł zarzucić mu że takową przechowuje i ma ją usunąć.

  8. Można porównać tę usługę z https://crypto.cat/ — pseudonimowym chatroomem z crypto client-side JS (także AES-256, D-H).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: