Самый простой способ начать зашифрованный чат

[mwizard]

А какие преимущества по сравнению с Cryptocat?

Я не заметил в статье ссылки на репозиторий — почему вы считаете, что ваша реализация OTP корректна? И почему вы считаете, что сервер не сохраняет копии сообщений открытым текстом? :)

UPD. Ссылка на репозиторий есть на самом сайте, но скрыта под спойлер. Вопрос про корректность реализации все еще в силе.

[parol]

Cryptocat требует устанавливать расширение, насколько мне известно. Значит и собеседнику нужно объснять что это и просить установить. В случае с Otr.to нужно просто скинуть ссылку.

При большом желании можно посмотреть какую информацию, в каком виде и куда отправляет браузер.

По поводу реализации OTR- используется github.com/arlolra/otr целосноность ее можно проверить.

[Temych]

+ вроде у криптокошки нет «Secure File Sharing»

[NeverWalkAloner]

Идея классная, только что то у меня не получается создать чат.
Подскажите, пожалуйста, куда надо тыкнуть, чтобы сгенерировать ссылку. Вижу вот такую надпись:, при нажатии кнопки connect появляется ошибка «Error: Could not get an ID from the server. If you passed in a `path` to your self-hosted PeerServer, you'll also need to pass in that same path when creating a new Peer… Type:server-error».

[extempl]

Кнопка коннект нужна если у вас есть ID собеседника.
А вот собственный ID вместе со ссылкой не создаются, да. Через некоторое время внизу появляется пара ошибок, текст которых приведён выше.

[parol]

Ошибка очень редко, но возникает, например на FF c MacOS. Если честно, еще не нашли как ее победить. Пока остается попробовать другой браузер.

[Rondo]

Windows 7, FF и Chrome, такая же ошибка
у меня виснет запрос https://otr.to:9000/peerjs/id?ts=<тут длинный unix-timestamp c дробной частью после точки>
(но может быть это проблема моего провайдера, уже замечал проблемы с нестандартными портами)

[parol]

спасибо, будем разбираться.

[parol]

Тут не поспоришь, проверять JavaScript каждый раз затруднительно. Единственное что могу возразить, если начнет отдаваться другой код, рано или поздно кто-то из пользователей это заметит и сервис будет скомпрометирован.

[hellman]

Но вы можете выдать другой код только определенному юзеру, или только в очень короткий промежуток времени.

[Speakus]

Ну раз код открыт, то можно ведь поднять на своем сервере? Или какое еще решение вы предполагаете?

[hellman]

Отличная статья в тему — Javascript Cryptography Considered Harmful

[ValdikSS]

Я тоже не особый сторонник браузерных приложений в целом и криптографии в частности, но, на самом деле, сейчас уже все гораздо лучше. Раньше большинтво противников криптографии в браузере жаловались, как правило, не на скорость выполнения или возможность side-channel атак, а на возможность подменить страницу (даже если с HTTPS, скажем, кто-то выпустил второй сертификат), а раз можно подменить страницу, то и криптография бессильна. Есть, например, замечательный проект Subrosa, который представляет из себя шифрованный peer to peer мессенджер в браузере (есть, кстати, даже груповые аудио и видеозвонки, рекомендую!), который настоятельно предлагает пользователю запускать его локально, чтобы, в случае чего, никто не мог подменить страницу по сети. В инструкции упомянуты и специальные заголовки, которые запрещают браузеру загрузку любого стороннего контента, если вдруг где-то обнаружится XSS.

сс: vsb

[ValdikSS]

Именно поэтому авторы проекта и рекомендуют запускать все локально.

[istui]

Все зависит для чего это использовать. Если просто требуется передать логин/пароль по работе через публичный вайфай, так, чтобы кулхацкер не смог их увидеть — это одно, здесь сервис вполне состоятелен. Если же данные действительно содержат важную личную информацию — используйте другие способы передачи, в которых вы уверены — это же написано во всех учебниках…

[parol]

примерно тоже самое написал, но рефрешнул перед тем как отправить

[parol]

-

[alexriz]

Прошу прощения, возможно я что-то не понимаю. Но одному мне кажется странным, передача ссылки-ключа к зашифрованному каналу связи через открытый канал связи?

[parol]

Если вы про чат, то там в ссылке содержится ID а не ключ. Если про сообщения или файлы, ничто не мешает скинуть ссылку через скайп а ключ смс например. К тому же сообщения самоуничтожающиеся, т.е. прочитать можно только один раз.

[Revertis]

Опишите чуток подробней как передается ключ от одного пользователю другому. Он летит через сервер? Или хранится на сервере и потом по айдишнику чата вынимается из базы? Если так, то это какой-то ужас…

[parol]

Согласование ключей идет напрямую между собеседниками, ключи обновляются. Подробнее здесь

[Methos]

Для видео-общения через браузер недавно появился zentalk.ru

[ZoomLS]

Давно уже есть Firefox Hello.

[pravic]

Самоуничтожающееся зашифрованное сообщение

Какие гарантии самоуничтожения?

И исходный код только клиентской части открыт, не так ли?

[Assada]

Так серверной части нет. p2p

Проект с открытым кодом, все сделано на Javascript, так что желающие легко могут убедится что чат действительно p2p и на сервер сообщения не уходят.

[pravic]

`s.php` смущает: bit.ly/1KvGLaG

[parol]

p2p только чат, самоуничтожающиеся сообщения и загуженные файлы хранятся на сервере, пока их не просмотрят или скачают.

[parol]

гарантий нет, но даже если бы мы их хранили, прочитать бы не смогли т.к. ключ на сервер не уходит, все шифруется в браузере.

[zhovner]

А можно у себя захостить? Вы не обидетесь?

[zhovner]

Неудобно как-то, а можно еще портабл версию, чтобы из гита все сразу работало.

[parol]

Можно

[varnav]

Можно подумать что при подключении по FTP эти самые «доступы» не передаются через открытый канал.

[deemytch]

Бывает SSL FTP подключение.

[Lexxtor]

Когда хочу прочитать самоуничтожающееся сообщение, нажимаю «get message», оно расшифровывается, нажимаю еще раз и оно исчезает. Баг. Не должно исчезать. Даблклик ведь и нечаянный бывает.