John,

To je prostě nesmysl. Část, která není open source, je zpracování souborů na straně serveru. Publikovaný kód přesně ukazuje, co a jak se nahrává. Skutečnost, že kdokoli může zobrazit zdrojový kód a vidět, co dělá, je přesně to, co transparentnost znamená. Je to poctivý kód, který se spouští přímo na webu. Není v něm co skrývat. Je to zašifrováno zcela na straně klienta, což je ověřitelné (za předpokladu, že jste schopni číst/porozumět kódu). Kromě toho je kód zveřejněn na GitHubu. Stále si nejsem jistý, proč mluvíte o SourceForge.

Možná byste místo toho, abyste projekt mlátili, mohli byste si udělat průzkum, klást otázky nebo minimálně jen chrlit nepodložená a nesprávná tvrzení. Beru to osobně, protože píšete věci, které jsou o projektu fakticky nepřesné. Místo toho, abyste se podívali na celý kód, který Sam napsal, nebo na projekty, na kterých veřejně přispívá GitHube, ze všeho se pokusíte zaútočit na jeho postavu ze zaniklého startupu, kterým je jeho e-mailová adresa vázáno na? To musel být špatný vtip.

instagram viewer

John,

Předpokládám, že nejste příliš obeznámeni se softwarem s otevřeným zdrojovým kódem a s tím, jaký je standard pro tento druh věcí. To je v pořádku – celá komunita se pohybuje velmi rychle, a zvláště v posledních několika letech. SourceForge je dinosaurus, který si před měsíci pošpinil reputaci správci stahování a špinavými instalátory panelů nástrojů a většina aktivních open source nyní žije na GitHubu. Ve skutečnosti je mnohem otevřenější pro obecnou komunitu na GitHubu, než kdy byla nebo by byla na SourceForge.

Securesha.re je nový druh webové aplikace, kde se většina funkcí odehrává přímo na klientovi, v přehledném zobrazení. Abych dal najevo svůj závazek k tomu, neminifikuji ani nezamlžuji žádný kód na webu (což je standardní, jednoduše proto, abych ušetřil přenášenou velikost webu). Ověření, že je šifrování provedeno správně, a určité množství znalostí, aby se ověřilo, že požadavky jsou správně odesílány bez identifikačních informací, vyžaduje určitou míru odbornosti v oblasti kódování. Když někdo dokáže to první, určitě zvládnou to druhé. Ověření požadavků doslova trvá méně než několik minut; koneckonců to dělá jen dva: jeden pro nahrání souboru a jeden pro jeho stažení.

Asi před rokem se na stránku podíval malý dav uživatelů Hacker News poté, co jsme to oznámili. Jejich verdikt? Fungovalo to dobře, pravděpodobně by mělo generovat delší hesla, bylo to trochu matoucí. To byly jednoduché věci, které se daly opravit – tak jsem všechny tyto problémy opravil a od té doby web vesele chrlí soubory den za dnem.

Chápu, že máte pocit, že vaše zpětná vazba je upřímná, ale není přesná.

Neváhejte a zkontrolujte kód ve svém webovém inspektoru i na https://github.com/STRML/securesha.re-client/tree/master/polymer - nejnovější verze stránek používá Web Components, takže je velmi snadné je sledovat, jakmile pochopíte základy.

Nakonec, pokud chcete používat službu, která nakládá s vašimi osobními údaji, musíte jí buď slepě věřit, nebo si kód přečíst. Naprostá většina služeb, které nakládají s vašimi osobními údaji (Gmail, Dropbox atd.), nemá veřejně dostupný zdrojový kód. Tento projekt ano. Pokud mi nevěříte, přečtěte si kód. Pokud kód nemůžete přečíst, zeptejte se někoho, kdo to umí. Věřím, že Securesha.re zaplňuje obzvláště důležitou mezeru, protože jeho správnost skutečně *lze* ověřit, na rozdíl od mnoha bezpečnostních služeb s uzavřeným zdrojem.

Doufám, že se tím některé věci vyjasní.

Ahoj Johne, napsal jsem securesha.re pro Angelhack hackathon na konci roku 2012 (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). Kód je volně dostupný na GitHubu (https://github.com/STRML/securesha.re-client), takže kdokoli může auditovat kód.

Je to docela jednoduché - ve skutečnosti je to tak jednoduché, že jsem to přepsal do několika hlavních webových rámců jako programovací experiment. Backend není nic jiného než jednoduché ukládání souborů s parametry automatického mazání – smaže vaše soubory po určitém počtu zobrazení, nebo pokud dosáhnou určitého věku. I když tento segment není open source, je skutečně velmi jednoduché ověřit, že neexistují žádná identifikační data resp hesla se odesílají na můj server – pokud nevěříte, spusťte aplikaci s otevřeným webovým inspektorem mě.

Pokud jde o „stránku s podezřelým vybíráním peněz“ – Tixelated byl zábavný experiment, který jsme ukončili asi před 6 měsíci (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Mezitím jsem pracoval na jiných projektech, ale zatím nic veřejného.

Pokud máte nějaké dotazy ohledně aplikace, rád je zodpovím. Prozatím je to jen stránka s důkazem konceptu a její používání je bezpečné, ale pokud narazíte na nějaké chyby, odešlete problémy do úložiště GitHub a já je rychle opravím.

Děkujeme, že jste se podívali na stránky. Nečekal jsem, že na to teď budu mít nějaký tisk – tento článek vyvolal zmínku o Lifehackeru a teď dostávám docela dost e-mailů na (relativně) starý projekt!

Nemohu mluvit za nástroj č. 1, ale váš komentář je pro SecureSha.re nesmyslný. Prohlášení: Byl jsem v původním týmu, který to vytvořil v AngelHack.

Neexistuje způsob, jak ověřit pravost stránek? Celý zdrojový kód je zveřejněn. Vše se děje na straně klienta v javascriptu, takže můžete skutečně vidět vše, co dělá. Vše, co dělá, je ukládat binární soubor (zašifrovaný již vámi ve vašem prohlížeči). Opravdu nemáte ponětí, o čem mluvíte.