Fórumok
Sziasztok,
Nem tud valaki olyan megoldásról, amellyel egy adott weboldal adott beviteli részét meg tudom jelölni, és egy előre beállított jelszóval mindig titkosítja szimmetrikus titkosítással?
Ezt lehetne mindenhová használni, pl. google mail, chat stb. és a shared secret is elég kényelmes ahhoz, hogy hosszú távon jó legyen - feltéve ha megjegyeztethető lenne hogy melyik weboldal melyik objektuma milyen jelszóval lenne automatikusan titkosítva.
Köszi-
Hozzászólások
Ezt amúgy végiggondoltad?
Kifejtenéd? Böngésző szintű megoldásra gondoltam - böngészőbe épített vagy hasonlót tudok elképzelni.
Nulladik lépésben azon gondolkodj el, hogy a textinput-ot js-ben a te kódod lefutása előtt el tudja fogni az oldal, úgyhogy elég nehéz úgy titkosítani a böngészőn belül, hogy biztosan ne legyen lehetőség a bevitt tartalmat a titkosítás _előtt_ feldolgozni/továbbítani.
Nem javascriptes megoldásra gondoltam, hanem böngészővel támogatottra - de csak ez tipp volt, a kérdésem az, hogy ismer-e valaki jó (elfogadható) megoldást.
Akkor ismét: Böngészőben, ha nincs kikapcsolva a js, akkor az oldalon beírt szöveget még a titkosító motyód működése előtt el tudja küldeni a szerverre. A js kikapcsolása meg agyonvágja gyakorlatilag az összes publikus webmail-t.
Pontosan. Az emailek titkosítása miért nem jó? Ne a webes felületet használd, hanem pl. Thunderbirdot pl, van benne csevegő is, meg villanyos zongora (hehe :D ).
--
Coding for fun. ;)
Hát én olyanokat tudok, amik pgp-vel titkosítnak. Jellemzően böngésző pluginek.
Anno használtam ezt is pl.: https://www.mailvelope.com/
Sima user-ekkel macerás a kulcs kezelés. Kényelmesebb lenne a shared secret jelszó formában.
Nem lenne érdemes firefox-éknek leadni feature request-ként? Egyszerű lehetne implementálni. És milyen jó lenne.. csak jobb egér egy textbox-on és beírni a jelszót azt annyi. Onnétól az azon az oldalon abba a box-ba írt szöveg mindig titkosítódna elküldés előtt - és egy megjelölt másik objektumon meg a fordítottja.
Hol jön ehhez a goooooooooooooooooogle mail?
Nem csak arra gondoltam, hanem bármilyen szolgáltatásra, és azon belül a textbox betitkosítására - a gmail csak példa volt. De egyébként rájöttem hogy nem kell nekem mail titkosítás, csak chat érdekel kizárólag.
Egy hasonlot mar kitalaltak... ugy kezdodik, hogy https...
Ennek 1: mi értelme van? 2: a https miért nem jó?
A szolgáltató elől is el akarom rejteni a tartalmat. https-sel még google például hozzáfér a levelekhez - de nem csak google, freemail és egyébhez is jó lenne egy egyszerű, univerzális titkosítási lehetőség sima jelszóval.
Titkosított chat-hez is pl. Lehet nem fogalmaztam világosan.
Szóval hogyan tudnánk használni a nagy szolgáltatók szolgáltatásait titkosítással? Ez a kérdésem. (A chrome + gmail titkosítási lehetőségről tudok, de nem csak google tartalom titkosítása érdekel, hanem egyéb is).
Ha a szolgaltato elol akarod elrejteni akkor PGP/GPG es lokalis email kliens (vagy sajat szerveren futo webmail).
Titkositott chat letezik (plugin formajaban nepszerubb kliensekhez) es sajat jabber szervert is csinalhatsz.
A nagy (ingyenes) szolgaltatok/szolgaltatasok a reklambol elnek, amit neked tálalnak. Ha nem tudjak elolvasni a leveled, akkor nem vagy tul ertekes ugyfel.
Kivancsi lennek egy titkositott uzenetekbol allo FB uzenofalra :)
---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
A célom valóban az, hogy a szolgáltató elől való elrejtés (pl. könyvelési adatokhoz információ küldése - vagy egy ügyfélnek az adataival kapcsolatban információ átadása - sok a lehetőség). Viszont mindezt úgy, hogy a távoli kapcsolatom egy egyszerű user. Az asszimetrikus titkosításhoz kulcsokat kell kezelni, ez már eleve bonyolult. Illetve elveszhet a kulcsa stb. Ennél már az is jobb ha bediktálok neki telefonon vagy személyesen egy erős jelszót és azt megjegyeztetjük sok évre. Ez a kényelem, egyszerűség kontra biztonság szempontjából a legjárhatóbb út nekem.
A titkosított üzenőfal ötlet poénos :)
Ha ez a helyzet akkor szerintem titkositott kommunikaciora csak sajat szerver a megoldas, rajta webmail (https) vagy egy webform ahova beirja az uzenetet (szinten https+auth), termeszetesen akkor ha a PGP+email kliens nem johet szoba.
Ingyenes (random) szolgaltato eseten szerintem egyszeru megoldas nincs. Sot, ha barmilyen mas megoldast hasznalsz az adatokat attol meg ellophatja egy keylogger/trojan a tavoli geprol, foleg ha nem hozzaerto a felhasznalo.
Esetleg kuldozgethettek jelszavas zip-eket, nem tudom azt mennyire bonyolult kezelni a felhasznalonak.
---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Chat-hez vagy emailhez nem jó a titkosított zip, macerás, nem megy mobilról stb - fájl küldéshez elfogadom hogy megfelelő lehet.
Nem értem, mi a valós cél ezzel. Egy titkosítás akkor értelmes, ha a másik oldalon van, aki kititkosítsa az adatokat. Onnan viszont már megint olvasható. Lássuk a lehetséges forgatókönyveket:
1. SOCKS proxy (bővebben itt: http://lifehacker.com/237227/geek-to-live--encrypt-your-web-browsing-se… )
2. Javascriptes szövegmező ki-bekódolás kiegészítővel (ez macera, és kb. fölösleges, valahol át kell küldeni a kulcsot, máris bukta van, lásd Enigma esete a történelemben).
3. A kommunikációt átvinni titkosított csevegőre.
4. Sz**ni bele a titkosításba, inkább magunkat titkosítsuk, bújjunk el Tor mögé.
5. Kiülni egy parkba a másik féllel, és szépen beszélgetni. Analóg módon. :)
Melyik szimpatikus?
--
Coding for fun. ;)
Egyszerű userrel kell megoldanom, ez a probléma. Technikai személlyel nem lenne gond természetesen (bár kényelmi szempontból ott is lehet problémás).
Tehát a jó öreg kérdés: hogyan csináljunk adat biztonságot két fél között, ha a feltétel az egyszerűség és kényelem?
A szolgáltatásainkat olcsón, gyorsan, és magas minőségben nyújtjuk. (A három tulajdonság közül kettő választható.)
Azt hiszem sejtem mire gondolsz, de miért szimmetrikus titkosítás?
Mivel itt van egy küldő, és egy fogadó, lehet az aszimmetrikus szerencsésebb lenne.
Tegyük fel, te vagy a fogadó: ahhoz hogy neked küldjön valaki, ismernie kell a kulcsot. Az első esetben ha kiszivárog tőle a kulcs, azzal bárki visszafejtheti a neked szóló üzeneteket, ha hozzájuk jut (jó, persze minden küldés előtt kérhet újat de azért...), míg ha csak a publikus kulcsot veszti el, nem történt semmi. Igazából reklámozhatod is, hogy bárki küldhessen neked titkosítva (mint a pgp-s levelezésnél). Így pl. a HTML form is tartalmazhatna egy statikus kulcsot, a böngésző/plugin pedig azzal kódolhatna post előtt. Ez amúgy talán JS-sel is megoldható lenne, így működhetne bárhol böngésző, és verzió függetlenül, plugin telepítgetés nélkül.
Bye Bye Nyuszifül - DigitalOcean referrer, mert az jó - <3 openSUSE, Ubuntu, KDE <3
Az asszimetrikus bonyolult (kulcsok kezelése, elvesztése stb), illetve nem elégséges az, ha valaki a publikus kulcsommal küldd nekem üzenetet, mivel attól még nem lehetek biztos a személyében. Tehát itt ugyanúgy van shared secret - maga a kulcsok kicserélése. Akkor meg minek bonyolítsuk? Egy erős jelszó mindennél egyszerűbb gyakorlati szempontból.
JS is képbe jöhet, de a kérdésem továbbra is az, hogy konkrét jó megoldást ismer-e valami? Úgy, hogy kihasználhassuk a nagy szolgáltatók által nyújtott infrastruktúrát (gyors elérések stb)?
Mert ezen kívül persze én is tudok megoldásokat (pl. chatcrypt.com). De Gtalk chat-hez pl nem.
Ötletek?
>aszimmetrikus
>shared secret
Are you even trying? A shared secret itt konkrétan az, hogy a publikus kulcsot kitolod a netre, vagy egy plaintext emailben elküldöd, aztán telefonon/személyesen megerősíted, hogy egyezik-e a fingerprint, tehát menet közben nem lett eltérítve a kulcs.
Hol itt a shared secret? A PGP lényege pont az, hogy titkos üzenetet bárki küldhet neked a _publikus_ kulcsoddal, amit a priváttal kinyitsz. Ha a privátot kezded osztogatni, már rég rossz.
A kezelése és a hozzá elérhető programok kezelése bonyolult z asszimetrikus titkosítás esetén - tapasztalatom alapján.
A chatcrypt.com miert garancia arra, hogy a szolgaltato nem latja a kommunikaciot? :)
Gmail is https-en megy, tehat azt sem latja. Mondjuk tisztazni kell, hogy melyik szolgaltato akinek nem szabad latnia, helyi ISP vagy Google es tarsai.
---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Tehát semmilyen harmadik fél ne lássa az adatot - ez a cél.
És valami rendkívül egyszerű, minimális kódbázisú, design-tól mentes open source fejlesztést nem ismer valaki, amelyet saját szerverre tudok tenni és ott chat-et biztosít? Esetleg HTML5-öt használva hangjelzést is tud? És statikus (tehát csak JS-ből fut)?
Ha statikus, akkor csak peer-to-peer működés jöhet szóba, ami egy szimpla js-sel több mint necces...
Már ha statikus alatt azt érted, hogy a szerveren semmilyen script nem fut.
Bye Bye Nyuszifül - DigitalOcean referrer, mert az jó - <3 openSUSE, Ubuntu, KDE <3
Így van, erre gondoltam. Van valaki sockjs meg Websocket - html5-tel ezt még nem lehet megcsinálni? Láttam demót p2p-re csak chat-ből - valami westernes design-ja vol a weboldalnak - nem tudom megtalálom-e.
Vagy ezek?
http://peerjs.com
http://dev.w3.org/html5/websockets/
Vagy milyen lehetőség lenne közös objektumot elérni két távoli kliens böngészőjéből azonos weboldalon?
Szerk.: nem ide tartozik, de ez is érdekes - JS-ből p2p:
https://peercdn.com/screencast.html
Áhh, valszeg írok egyetlen szál rövid szerver oldali ruby kódot, amely chat-et valósít meg és nincs formázás csak kevés szín és a szoba neve lesz a jelszó, a user név meg tetszőleges lesz - és csak a saját szobában lógó emberek látják egymás irományait.
Amire használnád arra a CryptoCat valószínűleg megfelel.
https://crypto.cat/
https://en.wikipedia.org/wiki/Cryptocat
Esetleg még a minilock, az a nyáron még nem volt stabil.
https://minilock.io/
http://www.wired.com/2014/07/minilock-simple-encryption/
--
Légy derűs, tégy mindent örömmel
A cryptocat firefox plugin, tehát nem megy mindenhol. A másik meg fájlokhoz van. Én sima szöveget akarok valós időben titkosítani 2 fél között.
Tapasztalat szerint ha ennyire paranoid az ügyfél, kénytelen lesz elfogadni, hogy a "védelme" bizonyos áldozatokat kívánhat, de tudod, mit? Íme: írtam egyet gyorsan. https://electronicart.hu/enc/enigma Használd egészséggel.
--
Coding for fun. ;)
Nem lenne kedvetek összeötletelni és összedobni egy olyan egyszerű szerver oldali scriptet, mellyel megvalósítható lenne egy biztonságos chat és minimális kódbázisra és maximális biztonságra törekednénk minimál design mellett CSS nélkül mondjuk Ruby-val megoldva?
Fölösleges. Bármilyen chat szkript https-en futtatva biztonságos. Ebből meg van pár ezer ingyen és készen.
--
Coding for fun. ;)
Egyrészt az openssl bug-ra emlékszel-e? :) másrészt ha a google szervere szolgálja ki a chat app-ot, akkor minden adatot el tud olvasni, ezt hogy küszöbölöd ki https-el?
Úgy, hogy saját szerveren, saját https-en futtatom.
--
Coding for fun. ;)
Így persze, ezért gondolkodok én is saját szerveren futtatásban. De amit írtál az nem, jó, mert azzal másolgatni kell minden egyes szöveget - realtime chat kellene.
Ha ennyire paranoiás vagy, miért erőlteted a public cloud-os megoldásokat?
Bye Bye Nyuszifül - DigitalOcean referrer, mert az jó - <3 openSUSE, Ubuntu, KDE <3
Nem vagyok paranoiás, hanem igény van egy olyan megoldásra, amely kényelmes és biztonságos is elfogadható módon. Erre kérdezek itt véleményt hogy van-e ilyen lefejlesztve.
A meglévő nagy felhő szolgáltatóknak meg jó a szolgáltatásuk nyilván - nagy erőforrásuk van - és ezt jó lenne kihasználni. A kérdés az, hogy megtudnánk-e oldani ezzel?
Ha nem, akkor marad a saját szerver - ami megint nem gond, csak ott ugye sok kérdés felmerül - meg kell adnom a hozzáférést, hogyan fejlesszem le - hogyan jelezze a beérkezett üzenetet - lehet pityegtetni? stb
Egyébként az a gondom, hogy napjában sokszor kell érzékeny adatokat küldenem - jelszavak új fiókokhoz, egyéb adatok cégről - és a jelenlegi megoldásokkal nem kivitelezhető - marad az emailben titkosított adat küldése, telefonon meg bemondom a jelszót - nem látok más lehetőséget egyszerű usernek - adminnak lehet gpg-vel, de sima userrel van a probléma - meg jó lenne ha mobilról is elérhető lenne stb
https://www.ejabberd.im/ Utána meg bármilyen XMPP klienssel csatlakozhatnak.
--
Coding for fun. ;)
Szerintem egy saját szerón/VPS-en futó XMMP szerver lenne az optimális megoldás.
Az utóbbi havi 5$-ból lazán kijön. Én DigitalOcean VPS-t használok, de van kismillió más szolgáltató, olcsóbb is.
Bye Bye Nyuszifül - DigitalOcean referrer, mert az jó - <3 openSUSE, Ubuntu, KDE <3
Igen, lehet ez lesz a legjobb. Mert ahhoz még androidos kliens is lesz.
http://stegoweb.pet-portal.eu/
Vannak erre megoldások:
http://bitwiseshiftleft.github.io/sjcl/
http://code.google.com/p/crypto-js/
Feltéve hogy megérted miért mondják (jogosan) veszélyesnek a többiek és elolvasod ezt: http://tonyarcieri.com/whats-wrong-with-webcrypto
Ismerem ezeket, de ez csak a crypto része. Megvalósított megoldást keresnék. Ha nincs, akkor meg szerver oldali cucc lesz belőle, és ott meg a https miatt nem fogok játszani a crypto-val akkor.
Valami ilyesmit keresel akkor: http://jcryption.org/
Kösz, de ez sem szimpi. Tiltott SJ-nél elküldésre kerülhet a form titkosítatlan adatokkal.
Tiltott JS-nél minden megbukik, ami nem beépülő kiegészítője a böngészőnek.
Egyébként most végiggondolva, egy csak webes, saját szerveren futtatott megoldás kell nekem.
Amúgy köszönöm mindenkinek a tippeket és ötleteket. Lehet mégis egy felrakott xmpp szerverrel jövök ki a legjobban és leghamarabb.
Van egy olyan fából vaskarika, hogy általában az ingyenes szolgáltatóknál tiltott a plusz egy rétegben használt titkosítás. Tehát gmailen a titkosított adat küldése úgy általában. (AFAIK) Ezért csak a saját szerveres megoldás marad.
Sőt, volt olyan hír is, hogy aki olyan megoldásra keres, amivel biztonságosan kommunikálhat, az azonnal az NSA látókörébe kerül.
Marad a saját szerveren futtatott megoldás szerintem is. Az is lehet hogy saját fejlesztés is lesz - faék egyszerű és rövid kódot akarok, hogy ha kell kommunikálnom valakivel bizalmasan munkával kapcsolatban vagy egyéb, akkor tudjak. Ezzel a jogommal élni akarok.
Nem kell ilyen másnak egyébként? Nem lenne kedvetek együtt lefejleszteni? Pár nap alatt meglehetne kényelmesen. Egy szál szerver oldali rövid script azt kész. Statikus HTML4-et dobna ki, meg felette minimál JS a vizsgálathoz hogy van-e új üzenet a másik féltől.
Ezt a vitát lenyomtuk már másik OP-vel, másik threadben. Ott az lett a vége, hogy nem. :)
Már kérdeztem ezt, de hátha lettek más megoldások azóta. Egyébként végig gondoltam, és nem kis munka jól megcsinálni.