Софт для безопасного общения

Discussion in 'Ваши проекты.' started by Linky, 20 Oct 2020.

  1. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    [​IMG]
    Софт для безопасного общения

    URL shortener
    – идеальный бесплатный инструмент для сокращения URL, для преобразования длинных уродливых ссылок в красивые, запоминающиеся короткие URL - https://ls-la.cc

    File sharing – простой файлообменник для небольших файлов. Без регистрации и абсолютно бесплатно - https://ls-la.cc

    Secure message – ваши идеи только для Вас и Вашего собеседника - https://ls-la.cc

    Открыты для всех предложений и конструктивной критики, будем рады любому отзыву о наших сервисах:
    jabber: linky@ls-la.in (резервный: linky-ls-la@jab.im)
    email: linky@ls-la.in
    Telegram: https://t.me/ls_la_cc
     
    #1 Linky, 20 Oct 2020
    Last edited: 23 Oct 2020
  2. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Добрый день. Поднят jabber server. Регистрация по ссылке https://jabber.ls-la.in/
     
    #2 Linky, 21 Oct 2020
    Last edited: 29 Nov 2020
    CyberTro1n likes this.
  3. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Здравствуйте.
    Будем рады рассмотреть варианты сотрудничества, идеи дальнейшего развития.
    Кому интересно обращайтесь по моим контактам:
    jabber: linky@ls-la.in (резервный: linky-ls-la@jab.im)
    email: linky@ls-la.in
    Telegram: https://t.me/ls_la_cc
     
  4. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Добрый день. Поднят mail server. Регистрация по ссылке http://client.ls-la.in/
     
  5. maikal

    maikal New Member

    Joined:
    25 Dec 2013
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    На эту , тему тоже есть некоторые соображения.А, что если делать на основе ВК,к примеру где- то там в закрытой группе писать и удалять записи - но,уж не в пустой естественно.Важно удаление ,востановление с заданной периодичностью.
     
  6. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
  7. moobi

    moobi Member

    Joined:
    7 Nov 2012
    Messages:
    32
    Likes Received:
    16
    Reputations:
    0
    тор прикручивай) наработки есть но правда не по ссылкам)
     
  8. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Спасибо за совет!
     
  9. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Ссылки, картинки и сообщения также можно конвертировать в QR-код.

    [​IMG]

    Попробуй и убедись насколько это удобно
    По всем вопросам пиши нам:
    jabber: linky@ls-la.in (резервный: linky-ls-la@jab.im)
    email: linky@ls-la.in
    Telegram: https://t.me/ls_la_cc
     
  10. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
  11. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    После первого же перехода по ссылке, информация удаляется на стороне сервера. Поэтому, перейти по сгенерированной ссылке второй раз - невозможно.
    Это значит, что мы не имеем технической возможности видеть ваши ссылки и сообщения, и как результат, не можем передать ваши данные третьим лицам.
    Кроме того, у Вас есть возможность ставить на сообщение пароль, который будет захеширован системой, внутри системы пароль существует только в виде хэша и не хранится в открытом виде, поэтому узнать мы его не можем.
    По всем вопросам пиши нам:
    jabber: linky@ls-la.in (резервный: linky-ls-la@jab.im)
    email: linky@ls-la.in
    Telegram: https://t.me/ls_la_cc
     
  12. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    В Новом году - скоро обновления!
    А также будем рады рассмотреть варианты сотрудничества и идеи дальнейшего развития.
    Кому интересно обращайтесь по моим контактам:
    jabber: linky@ls-la.in (резервный: linky-ls-la@jab.im)
    email: linky@ls-la.in
    Telegram: https://t.me/ls_la_cc
     
  13. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
  14. Раrаdох

    Раrаdох Elder - Старейшина

    Joined:
    30 Jan 2014
    Messages:
    80
    Likes Received:
    104
    Reputations:
    21
    Похвально, однако, есть несколько особенностей, которые не позволяют назвать ваш сервис хотя бы немного безопасным:
    1. Нет никаких строгих гарантий что ваши слова соответствуют действительности (в части хранения только хешей паролей, удаления информации после прочтения адресатом и т.д.). Слова и обещания это хорошо, но нужна вполне определенная математическая доказуемость, ни на что другое опираться в контексте разрабатываемых вами сервисов невозможно;
    2. Невозможность прочтения сообщений администрацией сервиса как следствие того что она удаляется после первого перехода по ссылке — явное лукавство, ибо вы, как оператор хранилища, можете просмотреть эту информацию и любым другим доступным способом. Таким образом, администрация сервиса потенциально может читать файлы и сообщения, равно как и человек который скомпрометировал вашу файловую систему / сервисы целиком.
    Чтобы устранить замечания выше, навскидку могу предложить лишь одно средство: end-to-end encryption.
    А вот реализация может быть уже различна. Тем не менее, принимая во внимание следующее:
    1. Искомое шифрование должно работать исключительно на клиенте;
    2. Ваши решения позиционируются как веб-сервисы.
    Естественным образом напрашивается вариант реализации на JavaScript, как самом популярном языке программирования для сценариев в браузерах (и не зря, текущие стандарты ECMAScript весьма неплохи).

    Подводя итоги своих замечаний, резюмирую: если вы правда хотите сделать безопасное средство с заявленным функционалом, то вам стоит, как минимум:
    1. Генерировать сложный ключ на клиенте. Одного достаточно — по причине достаточности симметричного шифрования в данном случае, никакие открытые ключи потенциально не требуются;
    2. Шифровать с помощью вышеуказанного ключа файлы/сообщения от пользователя на этом же клиенте, т.е. непосредственно в браузере (см. современные безопасные алгоритмы симметричного шифрования);
    3. Только после этого отправлять данные на сервер. Лишь в этом случае строго гарантируется что сырых данных не увидит как никто посередине, так и администрация сервиса (в хранилище и транспорте будет видна только зашифрованная "каша");
    4. Само собой, ключ отдаётся пользователю в браузере (и не передаётся на сервер — в этом пользователь сможет убедиться путем мониторинга траффика средствами Network, которые доступны в любом современном браузере. Более того, он сможет самостоятельно изучить JS код и проверить на предмет вредоносных манипуляций, ведь он (исходный код шифрования) доступен на клиенте);
    5. Всё это при желании можно оснастить дополнительным паролем с проверкой на бэкенде, который у вас сейчас уже "реализован" (надеюсь, хеши в нём у вас не MD5) — правда смысла уже сильного нет, т.к. с помощью примеси контрольной строки в начале/конце сообщения/файла можно понять что ключ был верный (и это не единственный метод). Более того, достаточно генерировать ссылки на файлы/сообщения с использованием guid либо иного сложного уникального идентификатора, а не последовательного int/long — тогда никто и не сможет подобрать так просто ссылку;
    6. Дешифрование происходит аналогично — строго на клиенте. Что очевидно.
    По поводу скорости такого решения можно не переживать, даже для файлов. С вашими объёмами (до 100КБ) всё будет происходить со свистом, а вы избавите серверные ресурсы от доп. нагрузки (ведь теперь они потребуются лишь для хранения).
    Вся эта схема некоторым образом похожа на хранение архива со сложным паролем на каком-нибудь общедоступном файлообменнике — вполне себе сносное решение с точки зрения безопасности (ведь шифровали архив на клиенте, да и алгоритм тоже был симметричный).
    А приятная особенность в том, что юзабилити от этого ни сколько не пострадает. Да и если сервер будет скомпрометирован злоумышленниками то они не смогут извлечь сырую полезную информацию из уже находящихся там данных (равно как и вы в лице администрации).

    Ещё неплохо бы дать возможность пользователю вводить ключ самостоятельно (но строго ограничить его хорошей политикой по сложности ключа).

    Также неплохо делать padding сообщений/файлов до фиксированной длины на клиенте (до шифрования), чтобы в хранилище они занимали ~одинаковый объем, что исключит всяческие "догадки" о содержимом.
     
    #14 Раrаdох, 15 Jan 2021
    Last edited: 15 Jan 2021
  15. Linky

    Linky New Member

    Joined:
    9 Oct 2020
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Большое спасибо за Ваш отзыв и отличный совет!
    Будем использовать эти рекомендации для улучшения этого проекта!
     
    Раrаdох likes this.
  16. CyberTro1n

    CyberTro1n Well-Known Member

    Joined:
    20 Feb 2016
    Messages:
    642
    Likes Received:
    432
    Reputations:
    2
    Mega приложуха.
     
Loading...