Комментарии 30
Очень удобно при вводе пароля, когда тебе сразу поле подсвечивают. 6 секунд и пароль подобран :)
Прекрасно.
Но пикантность ситуации состоит в том, что всё в открытом виде передаётся на сервер norbt. Да, с использованием SSL, но это не спасёт от атаки MIM, взлома сервиса или недобросовестного поведения админов :)
Вот если бы всё это делал FOSS-плагин для браузера или утилита, а на сервер передавался только зашифрованный файл, то смысл был бы.
Но пикантность ситуации состоит в том, что всё в открытом виде передаётся на сервер norbt. Да, с использованием SSL, но это не спасёт от атаки MIM, взлома сервиса или недобросовестного поведения админов :)
Вот если бы всё это делал FOSS-плагин для браузера или утилита, а на сервер передавался только зашифрованный файл, то смысл был бы.
Кстати, этими же проблемами страдает сервис lastpass, в то время, как у Mozilla Weave с этим всё хорошо.
All the cryptography is performed locally on the user's machine
Все криптографические процедуры выполняются локально на машине пользователяТоесть по-сети нешифрованные данные не гуляют.
Надо сообщить об этом сервисе Аль Каиде, а то кажется, их старый код недавно МИ5 взломала.
Любая система созданная человеком уязвима перед взломом другим человеком.
Не поможет от терморектального криптоанализа.
Реклама сайта анекдотов? =)
Можете поломать.
Ответ простой. ;)
Ответ простой. ;)
Хакеры, это конечно хорошо. Но где гарантия, что сервис не ведет базу страничек, что ему так любезно дают сами вебмастера?
>>Прослушивание трафика путём взлома SSL тоже не поможет хакеру, потому что все операции шифрования выполняются в браузере.
Отлично, криптографии на JS только не хватало =))
Отлично, криптографии на JS только не хватало =))
А почему нет? Криптография на JS — по-моему вполне здравая идея, если убрать спорный момент с передачей ключа на сервер — то вполне неплохой вариант для безопасного обмена какими-либо несложными текстовыми данными, AES, который используется в данном сервисе — он-же симметричный, с одной стороны ввел данные и ключ, зашифровал, передал, с другой получил данные, ввел ключ, расшифровал, прочитал, серверу достаточно просто хранить шифрованные данные. Для ведения приватной переписки через веб по-моему очень даже, хотя конечно, как заметили выше, у сервиса все равно все карты на руках для того чтобы получить расшифрованные данные, если он в них заинтересован, подменив скрипт шифрования, слив через какой-нибудь XMLHttpRequest пароль и т.п.
cryptopad.org имхо серьезней.
А чем серьезней?
И еще — вроде не по SSL туда хожу (просто http) — разве так секьюрно?
И еще — вроде не по SSL туда хожу (просто http) — разве так секьюрно?
Серьезней хотя бы тем, что вкладки (страницы) можно создавать и удалять, тем самым упорядочить структуру блокнота. Оформление текста и функция выхода из блокнота нажатием кнопки, при этом пароль и хранимые данные удаляются из памяти браузера, даже если сам браузер продолжает работать.
SSL особого смысла не имеет, все и так зашифровано. Javascript-шифрование гарантирует, что даже если кто-то взломает или унесет сервер, без вашего пароля он ничего не сможет расшифровать. Пароль на сервере не хранится и по сети не передается, его «знает» только ваш браузер, пока открыта страница CryptoPad. |утверждение автора — denvo|
SSL особого смысла не имеет, все и так зашифровано. Javascript-шифрование гарантирует, что даже если кто-то взломает или унесет сервер, без вашего пароля он ничего не сможет расшифровать. Пароль на сервере не хранится и по сети не передается, его «знает» только ваш браузер, пока открыта страница CryptoPad. |утверждение автора — denvo|
вот кстати этот сервис что-то похожее тоже использует, исходники aes в нормальном, не обфуцированном виде были когда в последний раз смотрел.
www.clipperz.com/open_source/javascript_crypto_library
www.clipperz.com/open_source/javascript_crypto_library
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
No robot: зашифровка текста на веб-странице