Надежность DM-PM.cc

[Forum services]

Недавно один из пользователей форума отправил мне письмо следующего содержания (копирую почти дословно) и как я понял это же письмо было отправлено не только мне.

-----------------------------------------
У вас кеш на сайте если вперед-назад сделать в браузере остается ввод секрета и если вперед то можно ссылку увидеть которую ранее создавали....

но тут я увидел такое вот : тут скриншон КОДА вашего сайта

https://logdog.pw/?BsIsYG

сравните с

secserv.me

ImageBam
ImageBam
ImageBam
ImageBam
ImageBam
ImageBam
сравните с
ImageBam
ImageBam

Я хотел бы понять - зачем вы так делаете?"
--------------------------------------------------------------


Некоторые, к сожалению, в это верят (например, поверил Теодор Бодлер). У некоторых есть твердая уверенность, что скажем популярный Привнот неуязвим.

Официальный ответ нашего программиста (его личное мнение):

Для новичков пусть это будет уроком, что для анонимность это не только использование жаббера, впн и сервисов одноразовых заметок.

А для старожилов форума вопрос, стоит ли для DM-PM делать что-то аналогичное? Или может еще какие идеи будут?

 

[Karloson]

эээ если все шифруется на стороне сервера то все известно владельцам сервера, т.е. никакой анонимности

1) добавьте время жизни заметки
2) колво просмотра заметки
3) кнопку получить короткую ссылку,( т.е. редирект на длинную) не много страдает анонимность, но если сделать 5-6 символов будет вполне не плохо.
4) сообщение в джаббер когда ссылка будет прочитана(можно снизу не много рекламы добавить)
5) возможно еще задавать свой ключ шифрования, типа даже если и получил ссылку то без ключа никак.

 

[Forum services]

эээ если все шифруется на стороне сервера то все известно владельцам сервера, т.е. никакой анонимности

Для этого у нас есть опция дополнительной защиты шифрованием. Ключ у вас остается. Хотя я уточню сейчас у проггера.
+ проггер еще давно мне писал, что владельцы этих серверов во всех остальных случаях также легко могут расшифровать текст у себя.

 

[Karloson]

Для этого у нас есть опция дополнительной защиты шифрованием. Ключ у вас остается. Хотя я уточню сейчас у проггера.
+ проггер еще давно мне писал, что владельцы этих серверов во всех остальных случаях также легко могут расшифровать текст у себя.

не совсем, если только владельцы сервиса переносят создание ключа шифрования на строну сервера или используют какие то собственные алгоритмы на стороне клиента( в которых есть бекдоры)
для примера mega.co.nz , все делается на стороне клиента.

 

[Forum services]

А если есть опасения за доступ к базе, то специально добавлено ручное шифрование. Это существенно надежнее, чем предлагают конкуренты. Ключ не знает никто кроме вас. Без него текст расшифровать практически невозможно.


В его словах тоже смысл есть.

 

[Artem_D]

Сейчас будет ответ.

Прошу прощения, за оффтоп. А можно ограничить размер подписей в сообщениях? а то вон гляньте на Карлсона - как на барахолку 90х зашел.

 

[Forum services]

Я передал программисту вопрос как совместить два способа для максимальной надежности.

 

[yandexxx]

Шифрование должно быть и на сервере, и на клиенте. Шифрование только на сервере не дает никаких гарантий, что на сервере не хранится ключ.

 

[Forum services]

Шифрование должно быть и на сервере, и на клиенте. Шифрование только на сервере не дает никаких гарантий, что на сервере не хранится ключ.

Дал именно такое задание программисту.

 

[pivovar.a]

Уж какой я параноик, но настолько не параною.

Хотя адрес и ФИО ни через какие заметки не отправил бы никогда. Ведь есть СМС! :D

 

[Vlad_CZ]

Господа!

Хочу ответить на скриншот нашего сайта где подобран типа пароль.

1.Попробуйте сами открыть Chrome и набрать Ctrl + Shift + J и ввести сообщение и пароль - а потом открыть код и посмотреть консоль - программист Луки тупо модифицировал функцию у себя локально чтобы показать, что мол мы можем завтра сделать тоже только в коде - и сами как держатели будем все мониторить. Так вот мы рекомендуем использовать плагини для мониторинга изменений кода типа Alertbox for Mozillа. Тогда вы сможете четко видеть где код изменен.

2.Шифрование использутеся только на клиенте - если же сервер будет знать пароль - так где тут анонимность??? Ее просто не будет

3.Перед тем как выкатить наш продукт мы провели кучу тестов и давали код разным квалифицированным кодерам - как только я зашел сразу на сайт записок DM то сразу я увидел кучу багов и недоработок. Как может такое прогер потом изобличать кого то вообще???

Если есть вопросы - добавлятесь в жаюер к нам и я дам контакт главного нашего девелопера и потом выложим переписку кодера ДМ и его сюда

[email protected]

 

[Karloson]

Шифрование должно быть и на сервере, и на клиенте. Шифрование только на сервере не дает никаких гарантий, что на сервере не хранится ключ.

в итоге получается первый раз шифрует на клиенте второй раз шифруем на сервере? хороший вариант.

ибо шифровать только на стороне сервера это плохая идея

 

[Vlad_CZ]

нет причин бояться, что ключи хранятся в браузере, потому что эти ключи - на одну сессию и нигде не хранятся и живут в памяти не дольше, чем тот текст, который они шифруют. у пользователей нет ни каких оснований верить, что сервер на самом деле шифрует сообщения так, что сам расшифровать не может. клиентское шифрование - это единственный вариант шифрования, при котором только клиент отвечает за безопасность и не зависит от честности разных товарищей. то, что человек не понимает зачем шифровать на клиенте говорит не в пользу его компетентности. да, всегда найдутся люди, которые будут надеятся, что чей-то сервер действительно шифрует и не сливает кому надо информацию, каждый выбирает по потребностям.

 

[Forum services]

в итоге получается первый раз шифрует на клиенте второй раз шифруем на сервере? хороший вариант.

ибо шифровать только на стороне сервера это плохая идея

Так и делаем. В ближайшее время представим.

 

[Vlad_CZ]

Дай бог чтобы никто не просил эти сообщения ни у вас ни у нас ))) предоставить

 

[Forum services]

Господа!
3.Перед тем как выкатить наш продукт мы провели кучу тестов и давали код разным квалифицированным кодерам - как только я зашел сразу на сайт записок DM то сразу я увидел кучу багов и недоработок. Как может такое прогер потом изобличать кого то вообще???
[/email]

Интересно где вы увидели кучу багов? Вы отписали с красивыми скринами какие вы хорошие и программист вам все расписал с рисунком. Какая куча багов?

Программист у меня имеет свое мнение по безопасности, ему не проблема реализовать и другой алгоритм, но он считает это лишним. Я поставил задачу - он ее выполнит.

Я собственно ничего против вас не имею, но вы уж очень мутный и настойчивый тип. Уж очень подозрительный. Вы уже очень давно осаждаете мне личку, рассказывая какой вы умный.

 

[Vlad_CZ]

Интересно где вы увидели кучу багов? Вы отписали с красивыми скринами какие вы хорошие и программист вам все расписал с рисунком. Какая куча багов?

Программист у меня имеет свое мнение по безопасности, ему не проблема реализовать и другой алгоритм, но он считает это лишним. Я поставил задачу - он ее выполнит.

Я собственно ничего против вас не имею, но вы уж очень мутный и настойчивый тип. Уж очень подозрительный. Вы уже очень давно осаждаете личку, рассказывая какой вы умный.

Программист пусть видео запишет ничего не вырезая и не модифицируя скрипты на клиенте как он получил свой скриншот - тогда не вопросов )))

А так я писал что джаваскрипт можно подделать если МЫ захотим - но сейчас на сайте НЕВОЗМОЖНО так сделать как показано на скрине.

Про кучу багов сори, но баги были и я про них писал.
Ваш прогер сказал что наш сайт не безопасный - вот я и пытаюсь спорить.)))

Ничего личного

 

[Forum services]

Программист пусть видео запишет ничего не вырезая и не модифицируя скрипты на клиенте как он получил свой скриншот - тогда не вопросов )))

А так я писал что джаваскрипт можно подделать если МЫ захотим - но сейчас на сайте НЕВОЗМОЖНО так сделать как показано на скрине.

Про кучу багов сори, но баги были и я про них писал.
Ваш прогер сказал что наш сайт не безопасный - вот я и пытаюсь спорить.)))

Ничего личного

Он это не говорил. Нигде. Он дал свою оценку по ряду вопросов, он имеет на это право.

 

[Vlad_CZ]

Он это не говорил. Нигде. Он дал свою оценку по ряду вопросов, он имеет на это право.

Был на эмоциях - давайте просто забудем о спорах )
Напишите плиз ответ на мое последнее сообщение в ЛС - Ваша реакция и будет оценкой нашего сервиса в Ваших глазах ;)

 

[Vlad_CZ]

Хочу просто добавить инфо для размышления про сервер или клиент :

.......У российских спецслужб появилась возможность отслеживать разговоры в Skype, рассказали «Ведомостям» несколько участников рынка информационной безопасности. Гендиректор Group-IB Илья Сачков говорит, что спецслужбы «уже пару лет» могут не только прослушивать, но и определять местоположение пользователя Skype. «Именно поэтому сотрудникам нашей компании, например, запрещено общаться на рабочие темы в Skype», — говорит Сачков.

После того как Microsoft в мае 2011 г. приобрела Skype, она снабдила клиента Skype технологией законного прослушивания, рассказывает исполнительный директор Peak Systems Максим Эмм. Теперь любого абонента можно переключить на специальный режим, при котором ключи шифрования, которые раньше генерировались на телефоне или компьютере абонента, будут генерироваться на сервере. ........

Ну как бы так - просто для понимания нашей логики про пароли на клиенте