Перехват данных, передающихся по сети — далеко не единственная опасность (у вас сайт, кстати, подвержен BEAST-атаке). Какие модели угроз вы рассмаривали?
Что вы получите с помощью BEAST-атаки? Модели угроз это наши внутренние задачи, описывать здесь мы не будем.
Или, что намного проще, использовать любое другое сетевое недоверенное хранилище, шифруя и подписывая данные на стороне клиента тем способом, которому я доверяю.
Т.е. токену вы не доверяете, но какому-то недоверенному хранилищу вы доверяете, храня ключи непонятно где, правильно я вас понял? И вы хотите шифровать данные каким-то своим доверенным способом?
ОС Windows пользуются миллиарды, но безопасной ее это не делает.
Да про винду хотя бы пишут про дыры, а про проблемы с Рутокеном я что-то не слышал. По этому считают им можно доверять.
Мы супергерои стоим на стороне Добра! С многолетним опытом работы в ИТ, в том числе, с различными системами шифрования, в банковской сфере, в структурах информационной безопасности.
Просто это видео про плагин, так сказать тестовый полигон. К запуску сервиса мы сделаем другое видео в котором покажем работу с файлами.
Дропбокс все-таки отличается от браузера, он хранит файлы локально и только синхронизирует с сервером. Для открытия файла в папке дропбокса нужно по нему кликнуть, у нас тоже самое. Да после завершения работы с файлом дропбокс не спрашивает подтверждения на сохранение на сервере, у нас да — нужно нажать еще одну кнопочку.
Это обусловлено тем, что за загрузку файла на сервер отвечает браузер, и если например были сделаны изменения в файле и браузер закрыли до сохранения на сервере… то они попросту не сохранятся.
Функцию «Открыть с помощью...» мы добавим в следующем релизе.
Во-первых, ваше название очень похоже на другой аналогичный сервис scrambls.com, что вводит в заблуждение.
В мире очень много похожих слов :)
Что касается этого сервиса, на сколько я смог понять, ключи на их серверах хранятся… ну это совсем не гуд. И функционал отличается от нашего.
Во-вторых, зачем изобретать велосипед — PGP/GPG уже давно существует.
Потому что это не удобно. Расскажите мне как будут работать с одним зашифрованным файлом несколько людей находящихся за 1000км друг от друга?
В-третьих, учитывая, что вы не OpenSource и ваш код (и рутокен) невозможно проанализировать с точки зрения уязвимостей и backdoors, то вашим продуктом в принципе нельзя пользоваться т.к нет никакой гарантии, что вы не совместное предприятие ФСБ, АНБ, Моссада и разведки Гвинеи-Бисау.
У нас можно проанализировать JS API и сетевое взаимодействие. Что касается плагина, то и его можно можно проанализировать главное знать как. С Рутокен такая же ситуация, берите токен и анализируйте. Ими пользуются миллион людей и наверно этим вопрос задавался не один человек :)
И мы как за чистоту приватности информации, и за Часть 2 статьи 23 Конституции РФ.
Перечитал еще раз и увидел, что в одном из комментариев вы написали, что ключи хранятся в токене (т.е. не на ваших серверах). Хотелось бы вам верить, что это так, но в вопросах информационной безопасности нужны какие-то доказательства.
Естественно ключи только в токене, на серверах только открытые ключи. И опять же все это можно проследить,
На видео работа в вордовским файлом. А что будет если на компе не настроено приложение для открытия этого (или какого-т любого другого) типа файлов?
В таком случае будет предложено выбрать приложение, точно так же как при обычном запуске таких файлов.
Разве у вас не создается локальная копия файла где-нибудь во временных папках? Он же все равно фактически скачивается.
Естественно скачивается, иначе бы его невозможно было открыть. Сохраняется во временную папку плагина, потом происходит расшифровка и запуск файла в ассоциированном приложении. После завершения работы с файлом он удаляется и временной папки.
На сайте сейчас банальная заглушка, а 21 октября когда мы запустим сервис все изменится.
Что касается поддержки систем, на данный момент только Windows начиная с XP. Сейчас идет работа над плагином под Mac OS, ориентировочно он будет готов через 1,5 месяца.
Мы делаем упор именно на защиту информации. Хранить приватные ключи в файлах совсем не гуд. Мы продаем токен в комплекте с подключением всего за 500р. (в других магазинах в рознице он стоит ~780р.) Это смешные цены за хорошую защиту.
К тому же криптография работает на борту токена и ключи нельзя извлечь из токена.
Это что-то типа Mega или Wuala, т.е. хранилища у которых тоже заявлено шифрование?
1. Ключи хранятся в токене. 2. Возможность общения. 3. Хранения паролей в сейфе. 4. Контакты для обмена данными.
Если да, то чем отличаетесь от них, кроме платности и объемами?
Выше перечислил отличия. Например в Mega чтобы поработать с файлом, его нужно сначала скачать. Что-то в нем исправить и залить обратно.
В Скрамблере все происходит в один клик, т.е. нажал на файл он прозрачно расшифровался и открылся в нужной программе. После изменения он автоматически улетит на сервер шуфруясь по дороге :)
Зачем использовать yet another ID, когда можно было бы добавлять контакты по емейлу? Т.е. зачем мне сообщать партнерам еще один ID, когда они и так могли бы найти меня и так уже зная мой адрес электропочты?
По этому вопросу много споров. адреса электропочты могут меняться, его сложнее продиктовать если он сообщается блондинке по телефону.
Что вы получите с помощью BEAST-атаки? Модели угроз это наши внутренние задачи, описывать здесь мы не будем.
Т.е. токену вы не доверяете, но какому-то недоверенному хранилищу вы доверяете, храня ключи непонятно где, правильно я вас понял? И вы хотите шифровать данные каким-то своим доверенным способом?
Да про винду хотя бы пишут про дыры, а про проблемы с Рутокеном я что-то не слышал. По этому считают им можно доверять.
Дропбокс все-таки отличается от браузера, он хранит файлы локально и только синхронизирует с сервером. Для открытия файла в папке дропбокса нужно по нему кликнуть, у нас тоже самое. Да после завершения работы с файлом дропбокс не спрашивает подтверждения на сохранение на сервере, у нас да — нужно нажать еще одну кнопочку.
Это обусловлено тем, что за загрузку файла на сервер отвечает браузер, и если например были сделаны изменения в файле и браузер закрыли до сохранения на сервере… то они попросту не сохранятся.
Функцию «Открыть с помощью...» мы добавим в следующем релизе.
В мире очень много похожих слов :)
Что касается этого сервиса, на сколько я смог понять, ключи на их серверах хранятся… ну это совсем не гуд. И функционал отличается от нашего.
Потому что это не удобно. Расскажите мне как будут работать с одним зашифрованным файлом несколько людей находящихся за 1000км друг от друга?
У нас можно проанализировать JS API и сетевое взаимодействие. Что касается плагина, то и его можно можно проанализировать главное знать как. С Рутокен такая же ситуация, берите токен и анализируйте. Ими пользуются миллион людей и наверно этим вопрос задавался не один человек :)
И мы как за чистоту приватности информации, и за Часть 2 статьи 23 Конституции РФ.
Естественно ключи только в токене, на серверах только открытые ключи. И опять же все это можно проследить,
В таком случае будет предложено выбрать приложение, точно так же как при обычном запуске таких файлов.
Естественно скачивается, иначе бы его невозможно было открыть. Сохраняется во временную папку плагина, потом происходит расшифровка и запуск файла в ассоциированном приложении. После завершения работы с файлом он удаляется и временной папки.
Что касается поддержки систем, на данный момент только Windows начиная с XP. Сейчас идет работа над плагином под Mac OS, ориентировочно он будет готов через 1,5 месяца.
К тому же криптография работает на борту токена и ключи нельзя извлечь из токена.
1. Ключи хранятся в токене. 2. Возможность общения. 3. Хранения паролей в сейфе. 4. Контакты для обмена данными.
Если да, то чем отличаетесь от них, кроме платности и объемами?
Выше перечислил отличия. Например в Mega чтобы поработать с файлом, его нужно сначала скачать. Что-то в нем исправить и залить обратно.
В Скрамблере все происходит в один клик, т.е. нажал на файл он прозрачно расшифровался и открылся в нужной программе. После изменения он автоматически улетит на сервер шуфруясь по дороге :)
Зачем использовать yet another ID, когда можно было бы добавлять контакты по емейлу? Т.е. зачем мне сообщать партнерам еще один ID, когда они и так могли бы найти меня и так уже зная мой адрес электропочты?
По этому вопросу много споров. адреса электропочты могут меняться, его сложнее продиктовать если он сообщается блондинке по телефону.