Представлен проект ZeroBin (http://sebsauvage.net/wiki/doku.php?id=php%3Azerobin), представляющий собой открытою реализацию системы для быстрого обмена кодом или сообщениями, похожая по своему назначению на сервис Pastebin, но кардинально отличающаяся подходом к хранению информации. При использовании ZeroBin, благодаря использованию шифрования на стороне клиента, передаваемые пользователем данные не могут быть прочитаны администрацией сервера и остаются доступны только для отправителя и получателя.Перед отправкой на сервер данные сжимаются и шифруются JavaScript-кодом в браузере отправителя и поступают на сервер уже в зашифрованном виде, при этом ключ шифрования не передаётся и остаётся известным только пользователю. Ключ для доступа к данным оформляется как часть URL (например, http://test.com?/paste/?идентификатор#ключ), которые предлагается передать доверительны лицам, которым адресовано сообщение. Не зная сгенерированный на этапе отправки данных URL невозможно получить доступ к информации, даже если имеется физический доступ ко всем данным на сервере. Знающий URL получатель сообщения при обращении к сервису загружает сохранённый зашифрованный блок данных, расшифровка которого производится JavaScript-кодом на стороне его браузера. Для шифрования используются 256-битный блочный шифр AES.
<center><a href="http://sebsauvage.net/wiki/lib/exe/fetch.php?media=php:zerob... src="http://www.opennet.dev/opennews/pics_base/0_1334911005.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="Алгоритм отправки данных" border=0></a></center>
<center><a href="http://sebsauvage.net/wiki/lib/exe/fetch.php?media=php:zerob... src="http://www.opennet.dev/opennews/pics_base/0_1334911133.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="Алгоритм получения данных" border=0></a></center>
Оценить работу ZeroBin можно воспользовавшись демонстрационным сервисом sebsauvage.net/paste/ (http://sebsauvage.net/paste/). Код проекта опубликован под свободной лиценизей zlib/libpng. Собственный сервер ZeroBin может быть развёрнут на любом хостинге с PHP 5.2.6 или более новой версией, СУБД для работы ZeroBin не требуется. Установка максимально упрощена - достаточно просто скопировать скрипт на сервер. Клиентская часть написана на языке JavaScript с использованием библиотек jQuery,
js-deflate, js-base64, SJCL (Stanford Javascript Crypto Library). Поддерживается (http://sebsauvage.net/wiki/doku.php?id=php:zerobin_faq#suppo...) работа во всех современных браузерах, включая Firefox 11, Chrome 18, Internet Explorer 6/7/8/9, Opera 12, Safari 5.1.5, Konqueror 4.7.4, а также в различных мобильных браузерах.
Из расширенных возможностей представленной реализации ZeroBin можно отметить поддержку задания времени жизни данных, встроенные средства для ограничения интенсивности отправки данных и лимитирования из размера (по умолчанию 2 Мб), поддержка обсуждения опубликованных данных. Сообщения в обсуждениях шифруются по аналогии с данными, таким образом на стороне сервера невозможно прочитать комментарии и даже просмотреть ники отправителей. Для наглядной оценки принадлежности сообщения используется VisualHash, генерируемый на основе IP (для одного IP показывается одно и тоже абстрактное изображение). В будущих версиях планируется обеспечить подсветку синтаксиса, добавить возможность защиты сообщений по не фигурирующему в URL паролю, реализовать режим удаления сообщения с сервера после первого прочтения.URL: http://arstechnica.com/open-source/news/2012/04/anonymous-bu...
Новость: http://www.opennet.dev/opennews/art.shtml?num=33648
Осталось избавиться от серверов вообще и просто публишить identifier в DHT, сделав P2P-реализацию :). Чтобы посмотреть пасту - надо знать id. Ну и все :)
Долго искать будет и ноды надо откуда-то взять, а так - вполне вариант. Если в браузерах когда-то сделают реализацию DHT - может и пойдёт.
> Долго искать будет и ноды надо откуда-то взять,Установить, мля. А то и просто сделать из юзерей. Или, если наглеть, попытаться юзать существующие p2p вообще, хоть это и неправильно и с этим авторы клиентов могут бороться :)
Freenet же!
Что - freenet? Он сам по себе не заточен на такое архитектурно как я понимаю.
>Ключ для доступа к данным оформляется как часть URL (например, http://test.com?/paste/?идентификатор#ключ)Гениальная идея.
Ну не знаю. Такая защита работает только до того момента, как адресат решит получить зашифрованное сообщение. Если ключ будет в URL, то HTTP сервис же сможет запросто получить исходные данные уже после первого обращения. Или я что-то не понимаю? :(
Часть урла, начиная с решётки, не передаётся на сервер.
Ясно же сказано, что ключа нет в http.
Я невнимательно прочитал.
гениальная, но не нова )
давно пользуюсь https://privnote.com/
Чего-то не понимаю - ключ серверу не передается, но передается яваскрипту, который с этого сервера и скачивается. То есть, немного переделав этот самый выдаваемый клиенту скрипт, сервер легко может получить доступ к самому ключу. Да, собственно, немного изменив скрипты, сервер может получить ключ уже и на стадии размещения материала. В общем, схема работает только если можно полностью доверять серверу.
>В общем, схема работает только если можно полностью доверять серверу.Да.
>Собственный сервер ЗероБин может быть развёрнут на любом хостинге с ПыХПыхом > 5.2.6
или использовать скрипт на greasemonkey для шифрования через доверенный код
>схема работает только если можно полностью доверять серверусхема работает только если можно полностью доверять скрипту и браузеру
/fixed
с момента попадания скрипта в браузер его можно сравнить с эталоном.
Вот еще вариант: http://freecode.com/projects/phorkie
Как раз серфил нет и наткнулся.
Зеробин будет интересен тем, кому нужен закрытый чат работающий с полтычка на любой платформе.
Шифровать важные данные следует более надежными способами.
Тоже первым делом подумал что штука аналог DHT. Централизованно она не слишком ценна.
Прикольная фича - Burn after reading!
> Прикольная фича - Burn after reading!Реквестирую print it then eat it.
а че, мыло+ширфование уже не модняво?
> а че, мыло+ширфование уже не модняво?Не вебдванольно.
По-моему уже выросло поколение существ для которых интернет==браузер, а все остальное шаманство и нафиг нада. Ну может за исключением еще скайпа.
Отрадно только что поскольку они овцы - их можно и нужно стричь.
