mitinsvyat May 19 2017 at 16:27

Защищённый сервис обмена текстовыми сообщениями

2 min

13K

Comments 35

Markscheider May 19 2017 at 16:43

А как передавать такие длинные линки и пароли? В письме или мессенджере? Тогда смысл теряется — перехватят письмо, перехватят и сообщение. В принципе, можно линк по одному каналу, а пароль — по второму…

Ну и главный вопрос — когда запуститесь на своем домене в полном масштабе?

mitinsvyat May 19 2017 at 16:48

Считаем, что ваши замечания вполне уместны.
Думаю, мы добавим новые безопасные фичи, если окажется востребованным.
Мы планируем запустить масштабный сбор денег на обновленный домен через indiegogo.

hexman May 19 2017 at 16:52

Что то долговато, криптовалось «hello»… Вроде и машина не слабая.
Но в целом, может где и сгодится.

mitinsvyat May 19 2017 at 16:53

У меня Алгоритм лягушонка Пепе затрачивает в Chrome секунд 5 на шифровку. На расшифровку примерно столько же.
В Firefox, кстати, секунд 13.

hexman May 19 2017 at 16:56

У меня около минуты, если не больше. Видно проц немного скушало. FF-38.7 (да… да… знаю. старый :) )
линк на сообщение не получил, а пароль был.
Списал всё на браузер + куча (порядка 40) открытых вкладок :)

ivan386 May 19 2017 at 17:08

Если кодировать данные в ссылке в HEX или Base32 будет короче. Ну и предусмотреть вместо "#" в ссылке возможность использовать "?"

mitinsvyat May 19 2017 at 17:14

Если вопросик, то данные будут передаваться на сервер. Этого не стоит делать по соображениям безопасности.
Возможно, АНБ сможет отследить тебя через логи Github.

ivan386 May 19 2017 at 17:30

Ну тогда укоротить немного ссылку кодированием hex или base32.

mitinsvyat May 19 2017 at 17:38

Думаю, можно сжать немного, просто стандартную криптографию немного геморно кодировать, и я вставил все наивным способом, чтобы не плодить код.

den_golub May 19 2017 at 18:08

ОФТОП, все довольно забавно, и работает быстро не больше 5 сек в 10 попытках, но вот фон можно и другой, а то как-то несерьзно ну или хотя бы нет такой большой, в идеале замостить все. /ОФТОП

mitinsvyat May 19 2017 at 18:16

тогда придется меня алгоритм Пепе на какой-то другой. Есть идеи?

cagami May 21 2017 at 22:07

надо сделать ввиде выбираемых стикеров (=

den_golub May 19 2017 at 18:14

и еще при добавление в поле где находится расшиврованное сообщение

Заголовок спойлера

<path d=«M835.87,338.68l2.06,1.63l1.01,0.94l-0.49,0.32l-1.21,-0.62l-1.76,-1.16l-1.58,-1.36l-1.61

допустим текста под спойлером и нажатии на кнопку „new pepe link“ ничего не происходит.

картинка-скрин

den_golub May 19 2017 at 18:19

код обрезало, в общем там html страница с картой мира в SVG, приходится обновлять

mitinsvyat May 19 2017 at 18:20

Или ты не то подметил. Погодь

den_golub May 19 2017 at 18:22

Да не то, даже с исходным текстом ничего не делает)

mitinsvyat May 19 2017 at 18:25

вродь я починиль

mitinsvyat May 19 2017 at 18:19

Ловко ты подметил. Ну я починю.

m8rge May 19 2017 at 19:29

Область, отвечающая за шифрование, выглядит как у программиста, который не знаком с шифрованием. Ну, либо это сделано для лулзов.

Конкретно, глупо использовать один ключ для шифрования разными методами.

https://en.wikipedia.org/wiki/Multiple_encryption#Independent_keys

mitinsvyat May 19 2017 at 19:30

тут разные ключи

Scratch May 20 2017 at 12:28

Если сильно хочется затормозить перебор, возьмите argon2 или bcrypt и настройте его на параноидальный уровень сложности, зачем городить этот цирк с буквами

mitinsvyat May 20 2017 at 13:03

Интересное решение, делать я этого конечно же не буду.

Killer May 21 2017 at 10:12

У меня друг сделал похожий сервис https://encrypt.one/
Он использовал похожую идею для передачи паролей (c шифрованием на стороне браузера, но хранением на сервере, и контролем разовости доступа и тп). Там есть ссылка на Github, можно посмотреть как реализовано. И у него изначально стояла задача как безопасно передать файл, так что без хранения на сервере не обойтись.

P.S. было желание на Хабре тоже описать как что делалось, но увы, у него вообще нет аккаунта, а у меня недостаточная, чтобы размещать в «я пиарюсь».

mitinsvyat May 21 2017 at 17:29

Все хорошо. Я никому не расскажу.

den_golub May 22 2017 at 09:14

Знакомо, знакомо, но только я использую его чисто для генерации паролей длины свыше 32 символов.

Cyberneticist May 22 2017 at 12:30

Cyberneticist May 22 2017 at 12:35

ну а пароль можно сделать покороче и сразу в буфер обмена копировать (благо нативное JS API уже есть) чтобы в браузере нигде в полях ввода не хранился
хотя собственно и в защите «от скриншотов» смысла то особо нету. В той же винде любое поле ввода по сути то же окно и по его hWnd можно легко получить контент (за возможные неточности формулировки просьба не бить, под винду я писал в последний раз лет 12 назад, потом только веб) — я такие проги еще в 10 классе на делфях писал) Так что spyware'ю можно и особо не заморачиватся скринами а просто мониторить поля ввода

mitinsvyat May 22 2017 at 23:10

Ваши мысли абсолютно верны.
В нашей дорожной карте есть планы создания PEPE_ANTIVIRUS, а в будущем, возможно, PEPE_OS.
В этих продуктах будет унаследован дух PEPE_PROTECT.

mitinsvyat May 22 2017 at 23:07

Спасибо большое за фидбек.
Проблема исправлена.

ivan386 May 23 2017 at 11:33

Эту строчку можно сократить.

var href = location.protocol + '//' + location.host + '/#' + pepeLanguage

до

var href = '#' + pepeLanguage

Браузер сам подставит адрес страницы при копировании ссылки.

mitinsvyat May 23 2017 at 18:32

Нельзя. Пожалуй, я удлиню. Копировать относительную ссылку плохо.

ivan386 May 23 2017 at 19:35

Копируется полная. Браузер автоматом подставляет недостающую часть.

mitinsvyat May 24 2017 at 02:05

Вообще, думаю, ты прав. Можно я так оставлю на всякий?

ivan386 May 24 2017 at 08:59

Можно и так оставить но вылезут проблемы когда в url страницы появятся не учтённые части.

<схема>:[//[<логин>:<пароль>@]<хост>[:<порт>]][/]<URL‐путь>[?<параметры>][#<якорь>]

mitinsvyat May 23 2017 at 18:35

var href = location.protocol + '//' + location.host + location.pathname + '#' + pepeLanguage