Компания Mozilla ввела в строй сервис обмена файлами Firefox Send

12.03.2019 20:11

Компания Mozilla запустила новый сервис Firefox Send, предоставляющий средства для обмена файлами между пользователями с применением оконечного шифрования (end-to-end). Изначально данный сервис проходил тестирование в рамках программы Test Pilot ещё в 2017 году, а теперь признан готовым для повсеместного использования.

Firefox Send позволяет загрузить в хранилище на серверах Mozilla файл, размером до 1 Гб в анонимном режиме и 2.5 Гб при создании зарегистрированной учётной записи. На стороне браузера файл шифруется и передаётся на сервер уже в зашифрованном виде. После загрузки файла пользователю предоставляется ссылка, которая генерируется на стороне браузера и включает идентификатор и ключ для расшифровки. При помощи предоставленной ссылки получатель загружает файл и расшифровывает на своей стороне.

Отправитель имеет возможность определить число загрузок, после которых файл будет удалён из хранилища Mozilla, а также время жизни файла (от одного часа до 7 дней). По умолчанию файл удаляется после первой загрузки или после истечения 24 часов. Также можно задать отдельный пароль для получения файла, позволяющий предотвратить доступ к конфиденциальной информации в случае попадания ссылки не в те руки (для усиления защиты пароль можно передать отдельно от ссылки, например через SMS, также можно опубликовать ссылку публично, а пароль отправить только избранным пользователям).

Сервис Send не привязан к Firefox и подготовлен в виде универсального web-приложения, не требующего встраивания в браузер дополнений. Для работы с сервисом также подготовлено специализированное Android-приложение, бета-версия которого будет загружена в каталог Google Play в течение недели. Серверная часть написана на JavaScript с использованием Node.js и СУБД Redis. Код сервера размещён на GitHub под лицензией MPL 2.0 (Mozilla Public License), что позволяет любому желающему развернуть аналогичный сервис на подконтрольном оборудовании.

Для шифрования применяется API Web Crypto и алгоритм блочного шифрования AES-GCM (128 bit). Для каждой загрузки вначале при помощи функции crypto.getRandomValues создаётся секретный ключ, на основе которого затем генерируется три ключа: ключ для шифрования файла при помощи AES-GCM, ключ для шифрования метаданных при помощи AES-GCM и ключ цифровой подписи для аутентификации запроса (HMAC SHA-256). Зашифрованные данные и ключ цифровой подписи загружаются на сервер, а секретный ключ для расшифровки отображается как часть URL.

При указании пароля ключ для цифровой подписи формируется как хэш PBKDF2 от введённого пароля и URL с фрагментом секретного ключа (заданный пользователем пароль используется для аутентификации запроса, т.е. сервер отдаст файл только если пароль введён верно, но сам пароль не используется для шифрования).

исправить +30 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/50306-firefox

Ключевые слова: firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (63)

1.1, VINRARUS (ok), 20:31, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+16 +/–
Скриншоты удалили, добавили файлообменник. Потом и его удалят, добавят селфиобменник какой. У них там смузи забродил?

2.5, q24735347628 (?), 20:41, 12/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
С какой версии скрин удалили? В 65.1 присутствует.

3.8, q24735347628 (?), 20:44, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Этим я пользуюсь мне не лишние.

4.42, Аноним (42), 02:18, 13/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
У любого уважающего себя пользователя опеннет должен быть свой NAS с выставленной жопкой в интернет, а Вы тут про облачные хранилища ...

5.48, Аноним (48), 06:21, 13/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Зачем NAS жопой? Доступ к своему NAS через VPN.

5.52, Аноним (52), 08:25, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
https://vfsync.org

5.63, scorry (ok), 12:13, 14/03/2019 [^] [^^] [^^^] [ответить]	+/–
Зачем вы выставляете свой нас жёпкой в интернет? Выставьте его лицом.

3.10, VINRARUS (ok), 20:52, 12/03/2019 [^] [^^] [^^^] [ответить]

+6 +/–

> С какой версии скрин удалили? В 65.1 присутствует.

Гдето новость мелькала о намерении отклюить серверную часть, нада поискать...

Вот: https://www.opennet.me/opennews/art.shtml?num=49959
ПС: да, дорогие Анонимы, зарегистрированные могут редактировать свои сообщения. :Р

4.16, Blind Vic (ok), 21:34, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Как? Не нашел.

5.38, KOT040188 (ok), 23:47, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Раньше была кнопка «показать всё» и там редактирование. А теперь этого нет. Кто-то чего-то не договаривает.

6.46, Sluggard (ok), 04:49, 13/03/2019 [^] [^^] [^^^] [ответить]	+3 +/–
Нажми на зелёные цифры перед своим ником — перезагрузится в тот вид, и правка там будет. ;)

4.18, Анонумка (?), 21:38, 12/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Ёшкин кот! Кто бы мог подумать. Спасибо тебе добрый Ээх. Побежали решится, чтобы всё как у Винраруса было.

5.19, Анонумка (?), 21:39, 12/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Забыл сказать плюсанул Винраруса прямо в карму

4.25, тоже Аноним (ok), 22:43, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Собирались отключить сохранение скриншотов в облако Мозиллы. Поскольку народу оно вполне предсказуемо не впилось. Ибо люди, которые делают скриншоты Файрфоксом, и люди, желающие наполнять своей информацией облака - множества практически не пересекающиеся.

2.62, КО (?), 19:35, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Мне больше понравилось, что мой 66 Фокс блокирует их ServiceWorker, а без них этот сайт представляет собой пустой белый квадратик в красивой рамочке. :)

1.2, Аноним (2), 20:33, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
А серверну часть можно было не на js писать? Куда лучше написать на go было бы - и деплоить проще, и многопоточный мощный http сервак из коробки. Ну или на rust -- это ж Мозилла.

2.4, Обноним (?), 20:39, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Вы чё? А как же потом переписывание с жс на раст, если уже сразу на раст? Программисты против :))

2.22, alex (??), 22:24, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
https://levelup.gitconnected.com/will-node-js-forever-be-the-sluggish-golang-f

3.34, Антон (??), 23:02, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
эта статья уже как затычка. Я конечно очень люблю ноду, но тут речь о внешней библиотеке на С++, которую можно к проекту на любом языке прикрутить.

3.37, anonymous (??), 23:45, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Вы зачем эту ссылку здесь дали ? Вообще то человек писал что бакенд для связи редиски с http можно было и не городить огород чтобы сделать на ноде банальное РЕСТ приложние.

2.31, anonymous (??), 23:01, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Не совсем понятно что там делает серверная часть, могли бы и просто ftp заюзать, а пардон, вроде поддержку ftp c браузеров выкидывают.

3.50, Аноня (?), 07:46, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Ftp?

3.51, Аноним (52), 08:19, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Ftp избыточен в данном случае, лучше бы Gopher

3.61, КО (?), 19:18, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
FTP, без дополнительной серверной части, трудно сказать, чтоб файл держал не дольше часа. SCP можно. :)

1.3, Аноним (3), 20:37, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

>ключ не передаётся на сервер Mozilla

На другие передается?

>После загрузки файла пользователю предоставляется ссылка, которая ... включает идентификатор и ключ для расшифровки ... При помощи предоставленной ссылки получатель загружает файл и расшифровывает на своей стороне.

И чем оно тогда лучше обычного "загрузи на сайт X запароленый архив, расшарь, передай другу ссылку и пароль в своем любимом чЯтике"?

2.6, VINRARUS (ok), 20:43, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Не нада WinRAR покупать.

3.11, Аноним (3), 20:52, 12/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
>WinRAR Им еще кто-то пользуется? Есть же 7zip сто лет уже.

4.17, Ан (??), 21:37, 12/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Не видел еще дураков покупающих архиватор. Всю жизнь с рутрекера качал.

5.55, J.L. (?), 12:35, 13/03/2019 [^] [^^] [^^^] [ответить]	+3 +/–
> Не видел еще дураков покупающих архиватор. Всю жизнь с рутрекера качал. //offtop то чувство что когда появился рутрекер ты уже перестал качать и кейгены и винрар

5.59, анонн (?), 13:48, 13/03/2019 [^] [^^] [^^^] [ответить]

+1 +/–

> Не видел еще дураков покупающих архиватор. Всю жизнь с рутрекера качал.

Ох уж эти оценщики. Покупающие (и поддерживающие автора) значит у них дураки, а вот неосилившие w32dasm, softice, олю или (конкретно для винрара) простой редактор ресурсов типа ResEdit и запускающие непонятную хрень с помойки - умные и крутые профессионалы …

3.12, klalafuda (?), 20:58, 12/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Винрар простите.. что делать? :=O

4.33, Аноня (?), 23:02, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
dnf install unrar А запаковать и в zip можно

4.56, J.L. (?), 12:39, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> Винрар простите.. что делать? :=O винрар умеет архивировать запароливая + режа на тома + отсылая на указанный емейл времечко было.... с почтовым сервером в локалке с 200 метровым ящиком... фильмы весьма быстро передавались а ты что, не покупал?!

2.7, Обноним (?), 20:43, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Одни не смогут зашифровать, другие закачать куда-то, третьи не справятся с агрессивной рекламой и падут жертвой мыркетинга.

2.20, Гентушник (ok), 21:43, 12/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Меньше действий и не требуется устанавливать дополнительные программы (архиватор), а так в принципе ничем.

1.9, Аноним (9), 20:48, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
было в опере 10 лет назад

2.13, Аноним (3), 21:08, 12/03/2019 [^] [^^] [^^^] [ответить]	+9 +/–
А в Симпсонах?

2.41, Аноним (42), 02:16, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Собственно видимо этот путь и привел Оперу к сегодняшнему результату. Меня очень пугает тенденция. Лучше бы они сосредоточились на бравзере )

3.60, Аноним (60), 17:18, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
В опере много чего было. Что не мешало иметь отличный браузер. Но: а) не угнались; б) им помогли. Да и прослоупочили с открытием исходников.

1.14, Ан (??), 21:12, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не используют не typescript не flow. Серьёзные вещи на JS без этого писать сложно. Особенно рефакторинг может быть причиной скрытых багов.

1.15, анон (?), 21:32, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
я кидаю ссылку, в которой id и ключ, своему другану, который её открывает так, что мозилла ничего о ключе не узнает. по-моему перемога, приватность 100 процентов

2.29, Аноним (29), 23:00, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Если там действительно на сервак ничего не идет, то да. Что аж смущает.

1.21, Аноним (21), 22:09, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
очередной мазилковский сервис для параллельной вселенной

1.23, Kuromi (ok), 22:35, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ждем запрета сервиса Роскомнадзором :)

2.57, J.L. (?), 12:40, 13/03/2019 [^] [^^] [^^^] [ответить]	+3 +/–
> Ждем запрета сервиса Роскомнадзором :) согласен, террористов всё больше, опасность экстремизма растёт, дети всё в большей опасности

1.24, Аноним (24), 22:41, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
И все опять на серверах гугла. Я уже вижу что в будущем будет выбор между Гугл и НеГугл(совсем совсем).

1.26, Аноним (26), 22:51, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Сервис Send не привязан к Firefox и подготовлен в виде универсального web-приложения, не требующего встраивания в браузер дополнений.

Превращает всё шифрование в snake oil, ибо
1 нет гарантии, что с сервиса не прийдёт вредоносный JS, который перехватит ключ
2 да и вообще ключ если хранить автоматически, то придётся хранить в куках, local storage или в URU, в доступности для сайта.

1.27, Аноним (27), 22:53, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Эту фичу надо встроить в thunderbird и автоматом заливать туда большие файлы.

2.43, Annoynymous (ok), 03:07, 13/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Она там есть. https://support.mozilla.org/kb/file-link

3.54, ff (??), 12:02, 13/03/2019 [^] [^^] [^^^] [ответить]	+/–
Там какой-то сервис просит авторзацию. не одно и то же.

1.28, X4asd (ok), 22:56, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]

+4 +/–

> Для шифрования применяется API Web Crypto и алгоритм блочного шифрования AES-GCM (128 bit)

или не применяется шифрования вовсе -- зависит от того какую версию JS-скрипта выдал тебе наэтот раз сервере (для конкретного раза) :-)

добро пожаловать внутрь web-криптографии!

2.30, Аноним (29), 23:01, 12/03/2019 [^] [^^] [^^^] [ответить]	–2 +/–
)

2.32, Аноним (29), 23:02, 12/03/2019 [^] [^^] [^^^] [ответить]	+/–
Четкие пацаны манкипатчат функции через экстеншн)

2.45, Аноним (45), 03:11, 13/03/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Ща секта свидетелей протонмейла с тутанотами заполыхает.

1.35, Avator (ok), 23:08, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Прикольно конечно, но зачем?

2.39, anonymous (??), 23:47, 12/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
А как заставить еще народ аккаунт на фф создать ?

1.36, Аноним (-), 23:44, 12/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А приватные чатики между пользователями у них есть? Не напомните. Хотя можно и через анонимную почту ссылку отправить. Молодцы! Осталось только свой поисковик запустить. ;) Правда будет очень трудно справится с, необходимостью зарабатывать на рекламе :(

1.40, Аноним (42), 02:15, 13/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ну совершенно очевидно, что теперь компании, которые торгуют разными облаками просто будут предлагать Chrome вместо Firefox вот и все.

2.44, Annoynymous (ok), 03:08, 13/03/2019 [^] [^^] [^^^] [ответить]	+1 +/–
В хроме же нет облака, действительно.

1.47, Аноним (47), 06:13, 13/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Про то, что в Опере с 11й версии такое было, уже говорили? Вот же ж, кто-то смог угробить такой проект...

1.49, Груст (?), 07:44, 13/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Zerobin давно есть.

1.53, Аноним (53), 12:01, 13/03/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А где кнопка добавить файл, или надо обязательно мышевозить?

2.58, Аноним (53), 13:05, 13/03/2019 [^] [^^] [^^^] [ответить]	–1 +/–
О, появилась. ~~Магия~~ Слоусервис.

Добавить комментарий

Текст: