JeromeJ's links
614 shaares
10 results
tagged
cryptography
À la question de youpla sur la possibilité d'implémenter une validation par JavaScript pour les pastes de type "Burn After Reading":
" Salut, ce “problème” comme tu l'appelles est normal.
Il serait possible d'implémenter une confirmation par JavaScript mais ça serait fortement déconseillé. En effet, quelqu'un (un bot par exemple) pourrait très bien récupérer le message chiffré et tenter de le déchiffrer lui-même plus tard sans que personne ne remarque que cela a été fait : C'est contre le principe du “Burn after reading”, si quelqu'un l'a ouvert avant toi, tu dois le savoir !
Ceci dit, en y réfléchissant on pourrait implémenter un hack / une solution, qui consisterait à ne pas se rendre directement sur la page permettant de récupérer le message mais sur une page intermédiaire qui, elle, ferait une redirection JavaScript vers la bonne page. Cela permettrait que, si on a JavaScript désactivé (car on utilise NoScript par exemple) cela nous prévienne sans pour autant que cela invalide le paste.
On conserverait ainsi le but premier de “Burn after reading”, si quelqu'un se rend bel et bien sur la page du paste, c'est sûrement grâce au JavaScript (donc on ne risque plus de l'invalider accidentellement) mais si un bot s'y rend manuellement (sur la page donnant le paste, pas l'intermédiaire, celle là on s'en fout que le bot y passe limite), tu le saura.
(De plus, je trouve que de manière générale, à part le fait que ça rajoute une étape (lourde ?) ça permettrait de pouvoir partager des liens ZeroBin même sur les services connu pour aller zieuter la page automatiquement (comme Facebook ou un mauvais service qui s'amuserait à vérifier tout vos liens automatiquement)(sauf si évidemment, ils exécutent le JavaScript et vont voir où il ne devrait pas; c'est rarement le cas donc)) "
" Salut, ce “problème” comme tu l'appelles est normal.
Il serait possible d'implémenter une confirmation par JavaScript mais ça serait fortement déconseillé. En effet, quelqu'un (un bot par exemple) pourrait très bien récupérer le message chiffré et tenter de le déchiffrer lui-même plus tard sans que personne ne remarque que cela a été fait : C'est contre le principe du “Burn after reading”, si quelqu'un l'a ouvert avant toi, tu dois le savoir !
Ceci dit, en y réfléchissant on pourrait implémenter un hack / une solution, qui consisterait à ne pas se rendre directement sur la page permettant de récupérer le message mais sur une page intermédiaire qui, elle, ferait une redirection JavaScript vers la bonne page. Cela permettrait que, si on a JavaScript désactivé (car on utilise NoScript par exemple) cela nous prévienne sans pour autant que cela invalide le paste.
On conserverait ainsi le but premier de “Burn after reading”, si quelqu'un se rend bel et bien sur la page du paste, c'est sûrement grâce au JavaScript (donc on ne risque plus de l'invalider accidentellement) mais si un bot s'y rend manuellement (sur la page donnant le paste, pas l'intermédiaire, celle là on s'en fout que le bot y passe limite), tu le saura.
(De plus, je trouve que de manière générale, à part le fait que ça rajoute une étape (lourde ?) ça permettrait de pouvoir partager des liens ZeroBin même sur les services connu pour aller zieuter la page automatiquement (comme Facebook ou un mauvais service qui s'amuserait à vérifier tout vos liens automatiquement)(sauf si évidemment, ils exécutent le JavaScript et vont voir où il ne devrait pas; c'est rarement le cas donc)) "
Quid de https://en.wikipedia.org/wiki/Web_of_Trust ??
Il y a moyen de créer des réseaux de confiance (un peu comparable à ceux qu'on peut faire en vrai et/ou sur shaarli :p) et, au pire - ou plutôt au mieux ? Je sais pas … - le premier certificat validé pourrait très bien être validé IRL, non ?
Si tu vois où je veux en venir … C'est assez robuste les réseaux de confiance (de ce que j'en connais / comprend)
[btw: le lien que je donne au début ne parle pas "exactement" de ça je crois, mais plutôt dans un cadre spécifique ??)
Il y a moyen de créer des réseaux de confiance (un peu comparable à ceux qu'on peut faire en vrai et/ou sur shaarli :p) et, au pire - ou plutôt au mieux ? Je sais pas … - le premier certificat validé pourrait très bien être validé IRL, non ?
Si tu vois où je veux en venir … C'est assez robuste les réseaux de confiance (de ce que j'en connais / comprend)
[btw: le lien que je donne au début ne parle pas "exactement" de ça je crois, mais plutôt dans un cadre spécifique ??)
Alternativement, on peut décider d'enfin agir avant que ça ne se produise.
Once and for all. Finit les chipoteries, finit l'excuse d'attendre les autres, si on attend les autres alors personne ne bouge, c'est donc à nous de bouger, les autres suivront tôt ou tard.
Just sayin'
Once and for all. Finit les chipoteries, finit l'excuse d'attendre les autres, si on attend les autres alors personne ne bouge, c'est donc à nous de bouger, les autres suivront tôt ou tard.
Just sayin'
Not bad!
Je me demande si cette technique et/ou tout simplement le système de discussion pourrait être utilisé dans PickyPaste d'une façon ou d'une autre … Mmmh.
Les possibilités sont très certainement nombreuses et variées mais si on voudrait faire des discussions chiffrés très facilement, en étant directement informé par mail (plus simpatoche et accessible non ?) ce qui serait à limite le plus simple serait ptet de patcher un zérobin pour que chaque réponse envoyée envoie un mail associé … Mmmmh (<- Bruit d'intense réflexion)
(via http://ithake.eu/shaarli/?iq64Fw )
Je me demande si cette technique et/ou tout simplement le système de discussion pourrait être utilisé dans PickyPaste d'une façon ou d'une autre … Mmmh.
Les possibilités sont très certainement nombreuses et variées mais si on voudrait faire des discussions chiffrés très facilement, en étant directement informé par mail (plus simpatoche et accessible non ?) ce qui serait à limite le plus simple serait ptet de patcher un zérobin pour que chaque réponse envoyée envoie un mail associé … Mmmmh (<- Bruit d'intense réflexion)
(via http://ithake.eu/shaarli/?iq64Fw )
pierreghz m'avait passé le lien http://www.mypersonnaldata.eu/downloads/ récemment et je trouve ton projet fortement intéressant :D
Les messages envoyés ne se trouvent pas vraiment sur PickyPaste (mais sur un Zerobin cible).
PP et ton projet (et OpenPGP JS) ont des buts sensiblement différents mais PP a encore beaucoup de fonctionnalités à prévoir ;)
Le plus important étant toujours de garder la maximum d'accessibilité alors que j'ai l'impression qu'OpenPGP JS n'est pas vraiment accessible à tous le monde mais il contient de très bonnes idées/pistes ;) Peut-être que faire quelque chose à mi-chemin entre les deux mais tout en restant le plus one-click que possible pourrait être vraiment cool !
Je continue aussi à vous tenir au courant si j'ai des avancées/idées/questions.
Amicalement.
(shaarlink trouvé via http://shaarli.warriordudimanche.net/?hiz-vw )
Les messages envoyés ne se trouvent pas vraiment sur PickyPaste (mais sur un Zerobin cible).
PP et ton projet (et OpenPGP JS) ont des buts sensiblement différents mais PP a encore beaucoup de fonctionnalités à prévoir ;)
Le plus important étant toujours de garder la maximum d'accessibilité alors que j'ai l'impression qu'OpenPGP JS n'est pas vraiment accessible à tous le monde mais il contient de très bonnes idées/pistes ;) Peut-être que faire quelque chose à mi-chemin entre les deux mais tout en restant le plus one-click que possible pourrait être vraiment cool !
Je continue aussi à vous tenir au courant si j'ai des avancées/idées/questions.
Amicalement.
(shaarlink trouvé via http://shaarli.warriordudimanche.net/?hiz-vw )
Woah, ça fait beaucoup non ?
Ils peuvent craquer quoi avec ça ? Et en combien de temps ? :/
(Autant anonymiser plutôt que chiffrer ? x) je sais pas)
Ils peuvent craquer quoi avec ça ? Et en combien de temps ? :/
(Autant anonymiser plutôt que chiffrer ? x) je sais pas)
Lien vers PickyPaste: http://www.olissea.com/PickyPaste/
Bon, je prévois beaucoup d'améliorations (simplifications, …) et beaucoup de modifs pratiques très bientôt.
Mais je voulais vous notifier déjà de ce petit plugin Olissea que j'ai rajouté, un peu à la vite.
En gros, vous pouvez me contacter en sachant uniquement mon pseudonyme (et ce pour tous les membres d'Olissea qui diront explicitement qu'ils sont d'accords, avec possibilité de restrictions). Indiquez juste JeromeJ (insensible à la casse) pour me contacter via PickyPaste.
(L'autocomplétion ne fonctionnait pas chez certaines personnes et les adresses email devaient être mémorisées et tapées manuellement, ce qui est un non sens (je prévois d'autres solutions alternatives encore ;))
Je vais faciliter le déploiement (distribution d'un .7z juste à décompiler) et ptet faciliter l'installation (une étape "installation" pour le premier user (présumé admin) ? Au lieu d'une config manuelle en brute comme maintenant ?)
Bref, vous verrez ^^ D'autres trucs aussi (une version offline pour un max de sécu !)
Bon, je prévois beaucoup d'améliorations (simplifications, …) et beaucoup de modifs pratiques très bientôt.
Mais je voulais vous notifier déjà de ce petit plugin Olissea que j'ai rajouté, un peu à la vite.
En gros, vous pouvez me contacter en sachant uniquement mon pseudonyme (et ce pour tous les membres d'Olissea qui diront explicitement qu'ils sont d'accords, avec possibilité de restrictions). Indiquez juste JeromeJ (insensible à la casse) pour me contacter via PickyPaste.
(L'autocomplétion ne fonctionnait pas chez certaines personnes et les adresses email devaient être mémorisées et tapées manuellement, ce qui est un non sens (je prévois d'autres solutions alternatives encore ;))
Je vais faciliter le déploiement (distribution d'un .7z juste à décompiler) et ptet faciliter l'installation (une étape "installation" pour le premier user (présumé admin) ? Au lieu d'une config manuelle en brute comme maintenant ?)
Bref, vous verrez ^^ D'autres trucs aussi (une version offline pour un max de sécu !)
Bookmarké ! J'adore tout ce qui est sécurité informatique :)
Ça y est !!!! :D
Enfin ! Au final, j'ai eu bien plus de difficultés que prévu, d'où mes cris de joies :'D #seulLesCodeursPeuventComprendre
Zerobin ? Facile à utiliser ? FOOL!! Fin moi aussi je le pensais … Jusqu'à ce que ma route croise quelques néophytes du web :/ … J'ai encore mal !
Il fallait encore plus simple ! Un no-brainer, clique clique, pesé c'est envoyé !
(En gardant toujours le tout highly paramétrable tant qu'on a une option par défaut c'est ce qui compte ET libre (open source, toussa, etc))
Boum: PickyPaste, based on Zerobin's core, that's for PickyPeople who wants robustness (yeay Zerobin) AND super-easy-to-use. DONE!
Le but de l'appli est surtout de pouvoir l'utiliser via le snippet: Une page intéressante que j'aimerais partager ? Alors faut quelque chose d'aussi simple que le traditionnel bouton Partager, sinon les gens ne verront aucune raison à ce qu'ils se cassent le cul à devoir faire des trucs en plus compliqués.
Alors on leur donne juste un favoris à cliquer dessus, hop, ça ouvre un nouvel onglet avec le message préremplis avec l'adresse de la page où on se trouvait.
On rentre l'email du destinataire (pourra y avoir une liste par défaut plus tard, genre se faire une liste de contact et tout, mais tout en restant KISS) (et ça sera aussi facilement modulable, donc le choix de l'email n'est pas forcé) ainsi que le sien si on veut pouvoir être répondu,
Les autres options ont toutes une valeur par défaut (avec une ptite explication quand au fonctionnement du "BurnAfterReading" activé par défaut), les options classiques de Zerobin sont toutes là, mais on peut également préciser un serveur Zerobin alternatif ou un serveur mail alternatif (car plus tard, il est prévu de pouvoir avoir le client sur son pc, en .html pour éviter contre une prise de domaine).
Le mail envoyé comporte une petite explication sommaire du pourquoi et du comment et utilise l'entête Reply-To si l'adresse email fournie est valide.
Le code source de l'app est disponible en bas de la page :)
Next to come: The English version (and a lot of other stuff)
PS: Bon, ne faites pas trop attention au design hein :p c'pas mon fort :3
Sujet lié: http://www.olissea.com/bbs/?tid=962
Enfin ! Au final, j'ai eu bien plus de difficultés que prévu, d'où mes cris de joies :'D #seulLesCodeursPeuventComprendre
Zerobin ? Facile à utiliser ? FOOL!! Fin moi aussi je le pensais … Jusqu'à ce que ma route croise quelques néophytes du web :/ … J'ai encore mal !
Il fallait encore plus simple ! Un no-brainer, clique clique, pesé c'est envoyé !
(En gardant toujours le tout highly paramétrable tant qu'on a une option par défaut c'est ce qui compte ET libre (open source, toussa, etc))
Boum: PickyPaste, based on Zerobin's core, that's for PickyPeople who wants robustness (yeay Zerobin) AND super-easy-to-use. DONE!
Le but de l'appli est surtout de pouvoir l'utiliser via le snippet: Une page intéressante que j'aimerais partager ? Alors faut quelque chose d'aussi simple que le traditionnel bouton Partager, sinon les gens ne verront aucune raison à ce qu'ils se cassent le cul à devoir faire des trucs en plus compliqués.
Alors on leur donne juste un favoris à cliquer dessus, hop, ça ouvre un nouvel onglet avec le message préremplis avec l'adresse de la page où on se trouvait.
On rentre l'email du destinataire (pourra y avoir une liste par défaut plus tard, genre se faire une liste de contact et tout, mais tout en restant KISS) (et ça sera aussi facilement modulable, donc le choix de l'email n'est pas forcé) ainsi que le sien si on veut pouvoir être répondu,
Les autres options ont toutes une valeur par défaut (avec une ptite explication quand au fonctionnement du "BurnAfterReading" activé par défaut), les options classiques de Zerobin sont toutes là, mais on peut également préciser un serveur Zerobin alternatif ou un serveur mail alternatif (car plus tard, il est prévu de pouvoir avoir le client sur son pc, en .html pour éviter contre une prise de domaine).
Le mail envoyé comporte une petite explication sommaire du pourquoi et du comment et utilise l'entête Reply-To si l'adresse email fournie est valide.
Le code source de l'app est disponible en bas de la page :)
Next to come: The English version (and a lot of other stuff)
PS: Bon, ne faites pas trop attention au design hein :p c'pas mon fort :3
Sujet lié: http://www.olissea.com/bbs/?tid=962
Une app open-source pour (dé)crypter ses messages à l'aide d'un mot de passe ? :D J'adore !
Hop, lien rajouté dans mes outils :)
Ça peut être surpuissant couplé à shaarli par exemple ^^ miam miam miam :D (again) faut que j'me calme ^^
Hop, lien rajouté dans mes outils :)
Ça peut être surpuissant couplé à shaarli par exemple ^^ miam miam miam :D (again) faut que j'me calme ^^