cwbe coordinatez:
101
63535
21
8337344
8337345
8337352
8337530
8337556
8337650

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::9
total children::4
show[ 2 | 3] flat
sifrovanie cez pgp.
Sifrovanie je jasne - Do kypcae clovek nahra public key. Kazda sprava jemu adresovana sa tym zasifruje a ulozi do db.

Problem je s desifrovanim asi, nechceme, aby kybcae vedela nas private key.

Predstavujem si to takto:
Kyberia oznami pouzivatelovi ze dostal zasifrovanu spravu. Tu si bude moct pouzivatel stiahnut na disk ako binarku. Binarku nasledne rozsifruje cez gpg.
Pripadne nejaky tool v pythone by bol, co to po zadani tokenu, mena a hesla stiahne a desifruje.

Je to user unfriendly, ale bolo by to najlahsie implementovatelne takto.




00000101000635350000002108337344083373450833735208337530083375560833765008337741
psycho
 psycho      03.05.2017 - 16:39:01 [1K] , level: 1, UP   NEW
akoze komunikacia cez kompromitovanu kyberiu tak aby ta komunikacia nebola kompromitovana, ale tak aby isla cez kyberiu?
co tak vymenit si s clovekom email

(alebo ked velmi potrebujes aby tie spravy tiekli cez kompromitovane kanaly, tak urcite najdes extension, ktory vsetko pred odoslanim zasifruje prave bez ohladu na kyberiu, a na druhej strane rovnaky extension rozsifruje, a kyberia bude len datovy most - alebo si vymen email)

0000010100063535000000210833734408337345083373520833753008337556083376500833774108337745
azazel_the_real_one{outKasted}{outKasted}
 azazel_the_real_one{outKasted}{outKasted}      03.05.2017 - 16:44:11 , level: 2, UP   NEW
Extensions a userscripty su cesta do pekla. Ale da sa to tak ...

00000101000635350000002108337344083373450833735208337530083375560833765008337678
lubomier.sk
 lubomier.sk      03.05.2017 - 15:27:36 [2K] , level: 1, UP   NEW
Veď https://www.mailvelope.com/en

00000101000635350000002108337344083373450833735208337530083375560833765008337657
repelent
 repelent      03.05.2017 - 15:11:40 , level: 1, UP   NEW
verim, ze by to slo aj v browseri, ze mu das kluc a on zostane lokalne iba a desifruje ti spravy
samozrejme musis stale verit kyberii, ze si ho nenahra ku sebe
(snad by to slo cez extension ku ktorej kyberia pristup nema, neviem)

Kazdopadne vzdy to bude komplikovane a takmer uplne zbytocne. Ked uz chcem sifrovane pisat, tak si vyberiem tool, kde ta komunikacia nie je naviazana na roky prispevkov (a teda nejako aj na moju realnu identitu). Lebo metadata kto kedy s kym tam budu vzdy, aj ked obsah nemas.

0000010100063535000000210833734408337345083373520833753008337556083376500833765708337760
niekt0
 niekt0      03.05.2017 - 17:05:56 , level: 2, UP   NEW
Ako pise knihovnik, da sa to urobit (a v dnesnej dobe to uz ani nie je tak vela prace),
ale ten bezpecnostny model je od zaciatku zly, aj tak musis verit serveru.

Na druhu stranu, utocnik by musel byt schopny upravovat php kod, co je trocha vacsia bariera nez nejaka blbla sql injection, ako je to dnes. A ziskal by pristup iba k aktivnym uzivatelom, co sa pripojili k poste kym bol upraveny postovy skript. Takze prakticky harm reduction by mohol byt dost velky.

Este jedna neprijmna vlastnost je ta, ze by si na fungovanie kyberie (resp. posty) potreboval javascript, co otvara dalsiu pandorinu skrinku bezpecnostnych problemov.

000001010006353500000021083373440833734508337352083375300833755608337650083376570833776008337766
repelent
 repelent      03.05.2017 - 17:11:34 , level: 3, UP   NEW
> utocnik by musel byt schopny upravovat php kod

Tomu nerozumiem uplne preco by musel? Kyberia dovoluje uzivatelom vkladat vlastny javascript cez ui. Sice na to treba prava a tak, ale to je asi stale dosiahnutelnejsie ako menit subory na serveri.



Ale hej, ako jedine realizovatelne riesenie v ramci kyberie vidim text s varovanim, ze posta nie je sirfrovana :)

00000101000635350000002108337344083373450833735208337530083375560833765008337657083377600833776608337779
niekt0
 niekt0      03.05.2017 - 17:29:56 , level: 4, UP   NEW
Mas pravdu, stacilo by aj xssko, alebo tie nestatne templaty. Ale stale je tam dost rozdiel medzi ziakanim vsetkej posty a ziskanim posty aktivnych uzivatelov.

0000010100063535000000210833734408337345083373520833753008337556083376500833765708337662
Thunder Perfect Mind
 Thunder Perfect Mind      03.05.2017 - 15:17:55 (modif: 03.05.2017 - 15:18:28), level: 2, UP   NEW !!CONTENT CHANGED!!
Ked uz ides pouzivat extension a ukladat kluc na klienta tak mozes rovno pouzivat signal, ktory ma aj extension aj appky aj preverenu bezpecnost

Ked naopak implementujes 'bezpecnost' do js tak to server vzdy moze zlomit. Cim nevravim ze je to uplne zbytocne, len podla mna ten pomer nakladov a vysledkov nesedi.

00000101000635350000002108337344083373450833735208337530083375560833765008337656
ksyz
 ksyz      03.05.2017 - 15:09:49 [1K] , level: 1, UP   NEW
https://openpgpjs.org/

potom local storage.