Nous sommes le Jeu 28 Mars, 2024 17:54
Supprimer les cookies

Page 1 sur 61, 2, 3, 4, 5, 6 SuivantMyPads : cryptez-les tous!

Mer 16 Juil, 2014 11:57

Je me demande si MyPads cryptera (côté client) les documents afin d'empêcher l'administrateur de l'instance d'accéder à nos pads privés.

Si non, je peut peut-être aider.
Dernière édition par sosolal le Jeu 17 Juil, 2014 13:46, édité 1 fois au total.
Quand on me demande "qu'est-ce que tu penses du piratage du cinéma", je réponds "j'ai bien aimé Pirate des Caraïbes".
-- Richard Stallman
sosolal

Messages : 199
Géo : Derrière toi

Mer 16 Juil, 2014 21:32

Non non non ! Framasoft y mettra un backdoor pour pouvoir accéder à tous les pads de toutes instances installées sur tous les ordi à travers le monde. Comment crois-tu qu'on gagne des sous ? "Sponsored by NSA !" :ugeek:
Quand tout le reste a échoué, lisez le mode d'emploi.
yostral

Avatar de l’utilisateur
Messages : 5403
Géo : Là-haut dans la montagne...

Jeu 17 Juil, 2014 13:48

Non mais sérieusement
Quand on me demande "qu'est-ce que tu penses du piratage du cinéma", je réponds "j'ai bien aimé Pirate des Caraïbes".
-- Richard Stallman
sosolal

Messages : 199
Géo : Derrière toi

Jeu 17 Juil, 2014 21:47

C'est une question qui mérite d'être posée.
TL;DR : non.

Déjà, tout simplement, tu veux chiffrer comment ? Avec quelle clé ? Parce que là on parle de chiffrement symétrique, qui doit pouvoir être déchiffré. Donc quelle clé ? Le password de ton compte ? Mais comment on va faire pour chiffrer de façon à ce que tes pads soient aussi déchiffrables par les autres gens qui y écrivent ? Faire un chiffrement multiple (comme sait le faire GPG par ex.) ? Ça va alourdir la bdd de façon monumentale (et elle n'a vraiment pas besoin de ça). Bref, c'est compliqué.

De toute façon, même dans le cas où un tel chiffrement était mis en place… l'admin n'aura jamais beaucoup de souci pour récupérer la clé. Même si elle n'existe que côté client. Comment ? Etherpad communique énormément avec le serveur. Il n'y aurait aucune difficulté d'ajouter un petit script qui envoie la clé en Ajax. Ce serait repérable ? Oui, à condition d'examiner tout le javascript qui est exécuté de ton côté. Sachant qu'Etherpad n'est quasi QUE du js compressé, tu peux t'amuser longtemps à chercher avant de trouver. Bref, ce n'est pas quelque chose de sûr.

Sans compter qu'il y a des fois où les pads plantent méchamment, et les gens sont bien contents que nous puissions leur renvoyer le dernier contenu. Bref, ce serait parfois pénalisant.

En quelque mots :
* non, pas de chiffrement dans MyPads (mais si tu veux tenter une fois que MyPads sera codé, je t'en prie) mais on a des (bonnes) raisons
* si on veut un service web dont on veut être sûr de la confidentialité, il faut l'héberger soi-même, car l'admin est quasiment toujours tout puissant et peut quasiment toujours tout voir

Voili, voilou.
lucsky

Messages : 19

Jeu 17 Juil, 2014 21:55

Arf. Pis y a un autre aspect qui fait que ce serait très lourd : dès qu'on tape un truc dans Etherpad, ça fait ce qu'on appelle un changeset. En voici un bout (j'ai enlevé les informations d'auteur) :
Code: Tout sélectionner
"Z:8fi>1|6=c5=7i*0+1$ "

En gros, ça décrit ou a été inséré tel caractère (ou quelques caractères, mais faut les taper vite). En gros, il faudrait chiffrer chaque caractère tapé. Et le déchiffrer. Bref, un foutu gros boulot pour le navigateur ou le serveur suivant de là où se fait le chiffrement. Même si ça va vite de chiffrer/déchiffrer un caractère, imagine ce qu'il se passe quand on est 5, 10 ou plus à taper en même temps !
lucsky

Messages : 19

Ven 18 Juil, 2014 09:17

Dans ce cas-là, pourquoi pas : toutes les modifications sont cryptés et envoyés, du coup on aurait une liste de .patch chacun cryptés 1 par 1 avec AES. La clé de chiffrement sera inclus dans l'URL, un peu comme un certain MEGA.
Quand on me demande "qu'est-ce que tu penses du piratage du cinéma", je réponds "j'ai bien aimé Pirate des Caraïbes".
-- Richard Stallman
sosolal

Messages : 199
Géo : Derrière toi

Dim 27 Juil, 2014 15:02

up!
Quand on me demande "qu'est-ce que tu penses du piratage du cinéma", je réponds "j'ai bien aimé Pirate des Caraïbes".
-- Richard Stallman
sosolal

Messages : 199
Géo : Derrière toi

Dim 27 Juil, 2014 16:29

Je crains que ça impose de modifier le moteur même d'etherpad. Or un plugin doit se servir de l'API qui lui est fournie et ne peut pas modifier le moteur, sans quoi il devient un fork. Faire un fork de ce projet, le maintenir à jour... ça représente un tout autre travail, monumental...

PS : et de toute manière si la clé est dans l'URL, l'administrateur n'aura qu'à mettre un proxy devant l'instance etherpad pour récupérer l'URL et donc la clé. Pas plus de sécurité donc.
Yakulu

Messages : 5

Dim 27 Juil, 2014 18:43

@Yakulu : en fait, pas forcément, car si la clé est dans une ancre comme sur zerobin (genre "http://zerobin.org/url_aléatoire#clé"), le paramètre "#clé" n'est pas transmis au serveur.

Par contre, rien n'empèche un admin malveillant de mettre un script js qui récupère "#clé" et le renvoie au serveur.

@Sosolal : que ce soit clair : Il n'y a aucun moyen d'être certain que quelque service que ce soit ne récupère pas tes infos, à moins de l'héberger toi-même (et encore, faut faire confiance à toute la chaîne du réseau, FAI, points de connexion réseau, etc. Et il y a aussi la question de la confiance dans le matos que tu utilises (oui, y a des histoires de backdoors matérielles qui traînent)). Après, Framasoft, c'est une asso qui a une éthique, qui a un but (libérer les gens des logiciels/services proprio) et qui n'a jamais été prise en défaut là-dessus. Il y a eu plusieurs admins qui sont passés sur les bécanes et aucun n'a jamais été fouiner dans les pads (ou autre service) sans qu'il y ait eu des problèmes le demandant. À savoir, un pad fait planter tout framapad => je bloque le pad, je mets un texte qui dit qu'il faut nous contacter pour récupérer le contenu du pas et je récupère le texte quand on me le demande.
Je récupère le texte pour le filer à son auteur, pas pour l'analyser et adapter de la pub pour la personne. Tu saisis la nuance ? J'assure une qualité de service (ça plante, mais c'est pas grave car tu n'as rien perdu, voilà ton texte), et je ne fouille pas les pads pour m'amuser ou me faire du pognon.

Tu ne fais pas confiance à Framasoft ? Héberge ta propre instance et t'es bon.
Tu veux du chiffrement dans MyPads ? Fais un fork quand le plugin sera écrit. Fais-toi plaisir. Mais on t'a expliqué que c'est compliqué, que ça ne garantit en rien la confidentialité des pads et que c'est pas dans le cahier des charges du plugin.
lucsky

Messages : 19

Lun 28 Juil, 2014 12:24

"Nous avons aussi appris que beaucoup d'entre vous doivent se montrer plus critiques. Même à notre égard. Vous ne pouvez pas sérieusement approuver le 'fait' que nous avons déplacé nos serveurs dans la sanglante Corée du Nord. Bravo à vous qui nous avez dit d'aller nous faire voir. Restez toujours critiques. Envers tout le monde" -- The Pirate Bay

Et sinon, GreaseMonkey peut supprimer un script malveillant, donc une clé dans l'ancre, c'est sécurisée.
Sinon vous savez pas qu'il est possible de collaborer avec l'équipe d'Etherpad pour implémenter le chiffrement?
Quand on me demande "qu'est-ce que tu penses du piratage du cinéma", je réponds "j'ai bien aimé Pirate des Caraïbes".
-- Richard Stallman
sosolal

Messages : 199
Géo : Derrière toi

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit