The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В рамках проекта ZeroBin подготовлена не зависящая от сервера открытая альтернатива Pastebin

20.04.2012 12:40

Анонсирован проект ZeroBin, представляющий собой открытую реализацию системы для быстрого обмена кодом или сообщениями, похожую по своему назначению на сервис Pastebin, но кардинально отличающуюся подходом к хранению информации. При использовании ZeroBin, благодаря использованию шифрования на стороне клиента, передаваемые пользователем данные не могут быть прочитаны администрацией сервера и остаются доступны только для отправителя и получателя.

Перед отправкой на сервер данные сжимаются и шифруются JavaScript-кодом в браузере отправителя и поступают на сервер уже в зашифрованном виде, при этом ключ шифрования не передаётся и остаётся известным только пользователю. Ключ для доступа к данным оформляется как часть URL (например, http://myserver.com?/paste/?идентификатор#ключ), который предлагается передать доверительным адресатам. Не зная сгенерированный на этапе отправки данных URL невозможно получить доступ к информации, даже если имеется физический доступ ко всем данным на сервере. Знающий URL получатель сообщения при обращении к сервису загружает сохранённый зашифрованный блок данных, расшифровка которого производится JavaScript-кодом на стороне его браузера. Для шифрования используются 256-битный блочный шифр AES, для каждого сообщения или блока данных генерируется новый случайный ключ.

Оценить работу ZeroBin можно воспользовавшись демонстрационным сервисом sebsauvage.net/paste/. Код проекта опубликован под свободной лиценизей zlib/libpng. Собственный сервер ZeroBin может быть развёрнут на любом хостинге с PHP 5.2.6 или более новой версией, СУБД для работы ZeroBin не требуется. Установка максимально упрощена - достаточно просто скопировать скрипт на сервер. Клиентская часть написана на языке JavaScript с использованием библиотек jQuery, js-deflate, js-base64, SJCL (Stanford Javascript Crypto Library). Поддерживается работа во всех современных браузерах, включая Firefox 11, Chrome 18, Internet Explorer 6/7/8/9, Opera 12, Safari 5.1.5, Konqueror 4.7.4, а также в различных мобильных браузерах.

Из расширенных возможностей представленной реализации ZeroBin можно отметить поддержку задания времени жизни данных, встроенные средства для ограничения интенсивности отправки данных и лимитирования их размера (по умолчанию 2 Мб), поддержку обсуждения опубликованных данных. Сообщения в обсуждениях шифруются по аналогии с данными, таким образом на стороне сервера невозможно прочитать комментарии и даже просмотреть ники отправителей. Для наглядной оценки принадлежности сообщения используется VisualHash, генерируемый на основе IP (для одного IP показывается одно и то же абстрактное изображение). В будущих версиях планируется обеспечить подсветку синтаксиса, добавить возможность защиты сообщений по не фигурирующему в URL паролю, реализовать режим удаления сообщения с сервера после первого прочтения.

Из ограничений ZeroBin отмечается неработоспособность при отключении выполнения JavaScript в браузере, а также возможность утечки URL с машин пользователей или их перехвата в результате атак Man-in-the-middle - ключ шифрования не передаётся в HTTP-запросах (браузер не передаёт часть URL после "#"), но атакующий может подменить выдаваемый сервером JavaScript-код и обеспечить отправку ключа шифрования.

Примечательно, что в сети уже начали появляться online-службы на базе ZeroBin. Например, вчера сообществом People's Liberation Front, ассоциируемым с хакерской группой Анонимов, введён в строй сайт www.AnonPaste.tk, работающий на базе ZeroBin и позиционируемый для проведения обсуждений и обмена закрытой информацией внутри группы вместо ранее используемого сервиса Pastebin.

  1. Главная ссылка к новости (http://arstechnica.com/open-so...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/33648-zerobit
Ключевые слова: zerobit, crypt, php, pastebin
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:33, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Осталось избавиться от серверов вообще и просто публишить identifier в DHT, сделав P2P-реализацию :). Чтобы посмотреть пасту - надо знать id. Ну и все :)
     
     
  • 2.14, Crazy Alex (ok), 16:23, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Долго искать будет и ноды надо откуда-то взять, а так - вполне вариант. Если в браузерах когда-то сделают реализацию DHT - может и пойдёт.
     
     
  • 3.23, Аноним (-), 02:59, 21/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > Долго искать будет и ноды надо откуда-то взять,

    Установить, мля. А то и просто сделать из юзерей. Или, если наглеть, попытаться юзать существующие p2p вообще, хоть это и неправильно и с этим авторы клиентов могут бороться :)

     
  • 2.19, umbr (ok), 18:28, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Freenet же!
     
     
  • 3.22, Аноним (-), 02:58, 21/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Что - freenet? Он сам по себе не заточен на такое архитектурно как я понимаю.
     

  • 1.2, filosofem (ok), 13:49, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +8 +/
    >Ключ для доступа к данным оформляется как часть URL (например, http://test.com?/paste/?идентификатор#ключ)

    Гениальная идея.

     
     
  • 2.3, souryogurt (ok), 14:28, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну не знаю. Такая защита работает только до того момента, как адресат решит получить зашифрованное сообщение.  Если ключ будет в  URL, то HTTP сервис же сможет запросто получить исходные данные уже после первого обращения. Или я что-то не понимаю? :(
     
     
  • 3.4, xl32 (ok), 14:31, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +9 +/
    Часть урла, начиная с решётки, не передаётся на сервер.
     
  • 3.5, Аноним (-), 14:36, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Ясно же сказано, что ключа нет в http.
     
     
  • 4.6, souryogurt (ok), 14:45, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Я невнимательно прочитал.
     
  • 2.26, slav0nic (?), 11:47, 23/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    гениальная, но не нова )
    давно пользуюсь https://privnote.com/
     

  • 1.7, антоним (?), 14:54, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Чего-то не понимаю - ключ серверу не передается, но передается яваскрипту, который с этого сервера и скачивается. То есть, немного переделав этот самый выдаваемый клиенту скрипт, сервер легко может получить доступ к самому ключу. Да, собственно, немного изменив скрипты, сервер может получить ключ уже и на стадии размещения материала. В общем, схема работает только если можно полностью доверять серверу.
     
     
  • 2.8, Аноним (-), 15:03, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    >В общем, схема работает только если можно полностью доверять серверу.

    Да.
    >Собственный сервер ЗероБин может быть развёрнут на любом хостинге с ПыХПыхом > 5.2.6

     
  • 2.9, namefields (?), 15:07, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    или использовать скрипт на greasemonkey для шифрования через доверенный код
     
  • 2.12, umbr (ok), 15:47, 20/04/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >схема работает только если можно полностью доверять серверу

    схема работает только если можно полностью доверять скрипту и  браузеру
    /fixed

     
  • 2.25, Куяврик (?), 18:51, 21/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    с момента попадания скрипта в браузер его можно сравнить с эталоном.
     

  • 1.10, Аноним (-), 15:34, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вот еще вариант: http://freecode.com/projects/phorkie
    Как раз серфил нет и наткнулся.
     
  • 1.13, umbr (ok), 15:56, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Зеробин будет интересен тем, кому нужен закрытый чат работающий с полтычка на любой платформе.
    Шифровать важные данные следует более надежными способами.
     
  • 1.17, Аноним (-), 17:13, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Тоже первым делом подумал что штука аналог DHT. Централизованно она не слишком ценна.
     
  • 1.20, pavlinux (ok), 21:31, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Прикольная фича -  Burn after reading!
     
     
  • 2.24, Аноним (-), 03:00, 21/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > Прикольная фича -  Burn after reading!

    Реквестирую print it then eat it.

     

  • 1.27, Аноним (-), 08:41, 24/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    а че, мыло+ширфование уже не модняво?
     
     
  • 2.28, имя (?), 11:41, 28/04/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > а че, мыло+ширфование уже не модняво?

    Не вебдванольно.
    По-моему уже выросло поколение существ для которых интернет==браузер, а все остальное шаманство и нафиг нада. Ну может за исключением еще скайпа.
    Отрадно только что поскольку они овцы - их можно и нужно стричь.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру