súkromie :: Something smarter than us is going to emerge


node:	súkromie
template:	4
parent:	TOPICZ
owner:	Prospero
viewed by:
created:	03.05.2017 - 00:58:00

cwbe coordinatez:
101
63535
21
8337344
8337345
8337352

ABSOLUT
KYBERIA

permissions
you:	r,
system:	public
net:	yes

Privátne nódy, pošta, tiamat, aynin prienik (slečna ak sa dostavíte máte u nás Club Mate) atď.

00000101000635350000002108337344083373450833735208337530

$azazel_the_real_one{outKasted}{outKasted}$

#šifrovanie minimálne pošty.

0000010100063535000000210833734408337345083373520833753008337556

ako si take sifrovanie a desifrovanie predstavujes?

000001010006353500000021083373440833734508337352083375300833755608337686

https://kyberia.sk/id/761705

00000101000635350000002108337344083373450833735208337530083375560833768608337754

java applet :D

0000010100063535000000210833734408337345083373520833753008337556083376860833775408337948

000001010006353500000021083373440833734508337352083375300833755608337686083377540833794808337953

$azazel_the_real_one{outKasted}{outKasted}$

To by bola riadna hipstercina :)

000001010006353500000021083373440833734508337352083375300833755608337650

$azazel_the_real_one{outKasted}{outKasted}$

sifrovanie cez pgp.
Sifrovanie je jasne - Do kypcae clovek nahra public key. Kazda sprava jemu adresovana sa tym zasifruje a ulozi do db.

Problem je s desifrovanim asi, nechceme, aby kybcae vedela nas private key.

Predstavujem si to takto:
Kyberia oznami pouzivatelovi ze dostal zasifrovanu spravu. Tu si bude moct pouzivatel stiahnut na disk ako binarku. Binarku nasledne rozsifruje cez gpg.
Pripadne nejaky tool v pythone by bol, co to po zadani tokenu, mena a hesla stiahne a desifruje.

Je to user unfriendly, ale bolo by to najlahsie implementovatelne takto.

00000101000635350000002108337344083373450833735208337530083375560833765008337741

akoze komunikacia cez kompromitovanu kyberiu tak aby ta komunikacia nebola kompromitovana, ale tak aby isla cez kyberiu?
co tak vymenit si s clovekom email

(alebo ked velmi potrebujes aby tie spravy tiekli cez kompromitovane kanaly, tak urcite najdes extension, ktory vsetko pred odoslanim zasifruje prave bez ohladu na kyberiu, a na druhej strane rovnaky extension rozsifruje, a kyberia bude len datovy most - alebo si vymen email)

0000010100063535000000210833734408337345083373520833753008337556083376500833774108337745

$azazel_the_real_one{outKasted}{outKasted}$

Extensions a userscripty su cesta do pekla. Ale da sa to tak ...

00000101000635350000002108337344083373450833735208337530083375560833765008337678

Veď https://www.mailvelope.com/en

00000101000635350000002108337344083373450833735208337530083375560833765008337657

verim, ze by to slo aj v browseri, ze mu das kluc a on zostane lokalne iba a desifruje ti spravy
samozrejme musis stale verit kyberii, ze si ho nenahra ku sebe
(snad by to slo cez extension ku ktorej kyberia pristup nema, neviem)

Kazdopadne vzdy to bude komplikovane a takmer uplne zbytocne. Ked uz chcem sifrovane pisat, tak si vyberiem tool, kde ta komunikacia nie je naviazana na roky prispevkov (a teda nejako aj na moju realnu identitu). Lebo metadata kto kedy s kym tam budu vzdy, aj ked obsah nemas.

0000010100063535000000210833734408337345083373520833753008337556083376500833765708337760

Ako pise knihovnik, da sa to urobit (a v dnesnej dobe to uz ani nie je tak vela prace),
ale ten bezpecnostny model je od zaciatku zly, aj tak musis verit serveru.

Na druhu stranu, utocnik by musel byt schopny upravovat php kod, co je trocha vacsia bariera nez nejaka blbla sql injection, ako je to dnes. A ziskal by pristup iba k aktivnym uzivatelom, co sa pripojili k poste kym bol upraveny postovy skript. Takze prakticky harm reduction by mohol byt dost velky.

Este jedna neprijmna vlastnost je ta, ze by si na fungovanie kyberie (resp. posty) potreboval javascript, co otvara dalsiu pandorinu skrinku bezpecnostnych problemov.

000001010006353500000021083373440833734508337352083375300833755608337650083376570833776008337766

> utocnik by musel byt schopny upravovat php kod

Tomu nerozumiem uplne preco by musel? Kyberia dovoluje uzivatelom vkladat vlastny javascript cez ui. Sice na to treba prava a tak, ale to je asi stale dosiahnutelnejsie ako menit subory na serveri.

Ale hej, ako jedine realizovatelne riesenie v ramci kyberie vidim text s varovanim, ze posta nie je sirfrovana :)

00000101000635350000002108337344083373450833735208337530083375560833765008337657083377600833776608337779

Mas pravdu, stacilo by aj xssko, alebo tie nestatne templaty. Ale stale je tam dost rozdiel medzi ziakanim vsetkej posty a ziskanim posty aktivnych uzivatelov.

0000010100063535000000210833734408337345083373520833753008337556083376500833765708337662

Ked uz ides pouzivat extension a ukladat kluc na klienta tak mozes rovno pouzivat signal, ktory ma aj extension aj appky aj preverenu bezpecnost

Ked naopak implementujes 'bezpecnost' do js tak to server vzdy moze zlomit. Cim nevravim ze je to uplne zbytocne, len podla mna ten pomer nakladov a vysledkov nesedi.

00000101000635350000002108337344083373450833735208337530083375560833765008337656

https://openpgpjs.org/

potom local storage.

000001010006353500000021083373440833734508337352083375300833755608337644

stretnu sa na pive a vymenia si svoje gpg kluce. dalej budu pokracovat standardnym sposobom.

00000101000635350000002108337344083373450833735208337530083375560833764408337663

chuda ayn

0000010100063535000000210833734408337345083373520833753008337556083376440833766308338067

tranzakciu a pivo uskutocni kamarat.