Автор |
Сообщение |
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 7 мес.
Сообщений: 4854
Ratio: 30.35
Поблагодарили: 29043
100%
|
Основатели портала I.UA Максим Хомутин, Денис Мисько и Виталий Хранивский сообщили о запуске нового сервиса для безопасного обмена секретной информацией encrypt.one. Пока сервис доступен только в виде веб-версии. С его помощью пользователи могут пересылать друзьям, родственникам и коллегам пароли от сервисов, данные кредитных карт, небольшие файлы до 5 МБ и другую личную информацию, не боясь, что она попадет к третьей стороне.
По словам разработчиков, Encrypt.one решает проблему безопасной передачи финансовой информации, в частности паролей и данных для доступа к банковским счетам. Кроме того, его можно использовать и как средство передачи паролей между своими устройствами, например, с компьютера на телефон.
Цитата: | «Передача паролей через мессенджеры, флешки или сервисы хранения файлов — Google Drive или Dropbox — небезопасна. Мессенджер или аккаунт одного из звеньев передачи информации могут взломать и приватные данные попадут к злоумышленникам. Кроме того, существующие сервисы передачи паролей вроде OneTimeSecret из-за отсутствия шифрования на стороне пользователя подвержены рискам взлома и не предоставляют возможности передавать файлы. Поэтому мы и придумали encrypt.one», – рассказывает предысторию Encrypt.one Денис Мисько. |
Особенность сервиса Encrypt.one состоит в том, что все данные шифруются ключом на стороне браузера и только после этого передаются на сервер. В результате, на сервер передается зашифрованная информация которую не смогут расшифровать ни сотрудники сервиса, ни хакеры, которые теоретически могут получить доступ к базе данных, так как у них нет ключа для расшифровки. В данном случае используется шифрование по алгоритму AES с длиной ключа 256 бит, который небезызвестное АНБ относит к уровню «Совершенно Секретно». Считается, что для взлома AES-256 методом подбора современному компьютеру понадобится несколько миллиардов лет. Этот стандарт используется в банковских системах и пока не было зафиксировано ни одного случая успешного взлома системы, использующей шифрование AES-256.
Для шифрования используется либо введенный пароль, либо случайно сгенерированный ключ который помещается в хеш-часть ссылки и не передается на сервер. Браузер получателя ссылки расшифровывает информацию непосредственно на компьютере пользователя при помощи введенного пароля или ключей из хеш части ссылки. После первого просмотра информация удаляется с сервера.
Encrypt.one – это открытый проект, так что любой желающий, имеющий соответствующие знания и навыки в области криптографии и информационной безопасности, может проверить его на наличие потенциальных уязвимостей. Исходный код encrypt.one традиционно доступен на Github.Источник: ITC |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
Trimerrr
Стаж: 12 лет 11 мес.
Сообщений: 3480
Ratio: 1.026
Поблагодарили: 22
100%
Откуда: из тайги, воспитан Йетими
|
На хрюна? Есть же биткоиновские сервера?? |
|
|
|
e2d
Uploader 100+
Стаж: 15 лет 9 мес.
Сообщений: 180
Ratio: 769.964
Поблагодарили: 726
100%
|
всё оно так красиво начинается, в виде "супер-мега-защищённое", "ни кто не прочитает", "шлите через наш сервис самое-самое", а через год-два выясняется что все, кому надо (и не только) очень даже хорошо всё читают |
|
|
|
md40vip
Стаж: 7 лет 9 мес.
Сообщений: 649
Ratio: 23.024
100%
|
вполне удобно. Но. 100% гарантии быть не может. |
|
|
|
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 7 мес.
Сообщений: 4854
Ratio: 30.35
Поблагодарили: 29043
100%
|
e2d писал(а): | а через год-два выясняется что все, кому надо (и не только) очень даже хорошо всё читают |
md40vip писал(а): | 100% гарантии быть не может. |
Исходный код encrypt.one традиционно доступен на Github. Убедится может любой желающий. |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
Trimerrr
Стаж: 12 лет 11 мес.
Сообщений: 3480
Ratio: 1.026
Поблагодарили: 22
100%
Откуда: из тайги, воспитан Йетими
|
vaselisk96 писал(а): | Исходный код encrypt.one традиционно доступен на Github. Убедится может любой желающий. |
А выполняющийся на сервисе доступен только разработчику и провайдеру Идентичен он тому, что в Github? Это большой вопрос... )) Здесь ответом только может быть "мамой клянусь", "честное пионерское" и "вот те крест" ))) |
|
|
|
Cirill
Стаж: 16 лет 11 мес.
Сообщений: 1317
Ratio: 1.335
100%
Откуда: Москва
|
vaselisk96 писал(а): | Исходный код encrypt.one традиционно доступен на Github. Убедится может любой желающий. |
Вот если бы это было отдельное приложение, которое я проверил, скомпилировал и потом постоянно пользую для обмена по нормальным образом организованному протоколу, то да, я бы и впрямь считал это довольно хорошей гарантией безопасности, потому как шансы, что за вами пристально следили изначально, с самого первого выхода в сеть, мягко говоря крайне малы. Однако, в данном случае, ваш браузер при каждом посещении грузит новый код с сайта (и не факт что всегда одинаковый и соответствующий выложенному ни гитхабе), ваша безопасность по сути находится на совести хозяев сервиса и потенциально (хотя на практике я о таком и не слышал) уязвима к подмене скриптов или даже целого сайта с целью слива ваших ключей на стороне провайдера или того, через кого вы имеете доступ в сеть. То есть это окно потенциальной уязвимости к перехвату теперь имеется при каждом соединении. Проще говоря, Web-сервисы сами по себе безопасными не могут быть в принципе - не для того создавался интернет. Если же их все таки хочется использовать, то для того чтобы из защитить, нужны внешние по отношению к ним средства (например SSL на сервере и изначальная поддержка HTTPS в самом вашем браузере). Все остальное - лишь профанация, независимо от того, что за ПО они там крутят у себя на сервере. |
|
|
|
Trimerrr
Стаж: 12 лет 11 мес.
Сообщений: 3480
Ratio: 1.026
Поблагодарили: 22
100%
Откуда: из тайги, воспитан Йетими
|
И если речь идёт о браузерах Мозилла, Хром, Гуглы-Шмуглы ... то какое нафек шифрование, если они сливают ДО него, или ПОСЛЕ. |
|
|
|
firstname9
Стаж: 15 лет 7 мес.
Сообщений: 2047
Ratio: 213.355
Раздал: 13.48 TB
11.55%
|
Я представляю, как секретной информацией обменивается Порошенко с этими же бывшими ex.ua. |
|
|
|
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 7 мес.
Сообщений: 4854
Ratio: 30.35
Поблагодарили: 29043
100%
|
Cirill писал(а): | хотя на практике я о таком и не слышал |
Сами себе противоречите. Добавлено спустя 2 минуты 13 секунд: Trimerrr писал(а): | И если речь идёт о браузерах Мозилла, Хром... то какое нафек шифрование, если они сливают ДО него, или ПОСЛЕ. |
Не существует ни одного задокументированного факта подтверждающего ваше высказывание. |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
ganul
Стаж: 12 лет 10 мес.
Сообщений: 110
Ratio: 4.592
31.67%
|
шифрования нет)! пока не доказано обратное! |
|
|
|
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 7 мес.
Сообщений: 4854
Ratio: 30.35
Поблагодарили: 29043
100%
|
ganul писал(а): | шифрования нет)! пока не доказано обратное! |
Спасибо, что уделили время на прочтение данной новости. |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
Trimerrr
Стаж: 12 лет 11 мес.
Сообщений: 3480
Ratio: 1.026
Поблагодарили: 22
100%
Откуда: из тайги, воспитан Йетими
|
Че документировать-то? КАК МИНИМУМ! Открой cmd, да пощелкай netstat, да открой пустую Мозиллу... да снова пощелкай... да вспомни, что в исходящем запросе уже от тебя стат-инфа в бигдату пошла - IP, время запуска, тип браузера,... |
|
|
|
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 7 мес.
Сообщений: 4854
Ratio: 30.35
Поблагодарили: 29043
100%
|
Trimerrr писал(а): | Че документировать-то? КАК МИНИМУМ! Открой cmd, да пощелкай netstat, да открой пустую Мозиллу... да снова пощелкай... да вспомни, что в исходящем запросе уже от тебя стат-инфа в бигдату пошла - IP, время запуска, тип браузера,... |
И правильно, я бы точно так же сделал! А как иначе разработчику узнать пользуются его детищем или нет? Как? |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
Trimerrr
Стаж: 12 лет 11 мес.
Сообщений: 3480
Ratio: 1.026
Поблагодарили: 22
100%
Откуда: из тайги, воспитан Йетими
|
vaselisk96 писал(а): | А как иначе разработчику узнать пользуются его детищем или нет? Как? |
Никак. Траффик-то мой идёт, а не разработчика. А потом смотришь ё-маё... откуда с пустого места гигабайты траффика? Компьютер мой. Вроде бы я и не просил программу об этом... |
|
|
|
|
|