Обновить

Комментарии 7

шифрованный шеринг сниппетов

Ключ кладётся в URL-фрагмент: idegram.app/s/<id>#<key>

Т.е. любой, кто получит урл с фрагментом, может прочитать сообщение. В т.ч. если человек случайно перешлет кому-то сообщение, расшарит ссылку и т.п.

Всё верно, и это сознательное архитектурное решение, а не баг. Шифрование защищает от одной конкретной угрозы — компрометации нашего сервера. Если завтра нас взломают и сольют всю БД, атакующий получит набор шифротекстов без ключей, потому что ключи физически никогда у нас не были (по HTTP-спецификации часть URL после # на сервер не отправляется, она живёт только в браузере получателя). Так же это работает в PrivateBin, Bitwarden Send и бывшем Firefox Send. От второй угрозы — что получатель сам перешлёт ссылку дальше — ни мы, ни любая другая система защититься в принципе не может. Если ты отправил человеку кусок кода, он его получил и волен делать с ним что угодно. Это ровно та же модель, что у обычного TG-сообщения, GitHub Gist или скрина в Slack: пересылается = расшарено. Поэтому формулировка “end-to-end” тут означает буквально то, что означает — код доступен только на эндпоинтах, отправитель и получатель. Если получателю доверять нельзя — проблема не в транспорте, а в выборе получателя, и никакой инструмент это не лечит. Что мы можем сверху дать (и планируется в следующих версиях): TTL на ссылку, лимит просмотров, отзыв ссылки одной кнопкой из IDE. Это не решает фундаментальную проблему “получатель сделал скриншот”, но сильно сужает окно злоупотребления при случайной пересылке.

НЛО прилетело и опубликовало эту надпись здесь

не осилил после

Эта статья — про то, что реально работает в коде сейчас, а не про дорожную карту.

100% слоп.

Я полез читать комментарии только в надежде что я не один кому это глаз режет 😭😭

А мы в команде просто постоянно сидим в голосе если в данный момент на рабочем месте и в целом молчим но если надо любой человек может подключиться и сразу обсудить проблему или расшарить экран а не слать в Telegram куски кода)

+ В целом очень странно выглядит часто необходимость отсылать какие-то кусочки кода коллеге, ну то есть если это большая фича то по ней был груминг скорее всего а далее разработчик сам делает фичу и на кодревью все вместе посмотрят, а если вы по 10 раз отправляете какой-то кусок кода вместо того чтобы один раз созвониться то это проблема в процессах и вряд ли этот плагин прям решит проблему

Ну отправлять себе в Telegram куски кода чтобы потом дома посмотреть или кому-то показать?

Вы в курсе про гит?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации