第一次尝试了一下 WEB 开发,做了个非常简单的匿名文本分享工具。
https://foxtxt.com/v/Bk6JT57uG
支持 密码, 过期时间, 使用 sha256 简单解决证明问题。
1
itopidea 2018-02-28 11:29:48 +08:00
https://foxtxt.com/v/B1EJGiXuG 密码 123456
|
2
TinySec OP 安全与易用性成反比,在纯文本的易用性和 PGP 加密的复杂度之间,为了安全的传递消息,一个妥协的方案是匿名带过期的分享。
|
3
roogle 2018-02-28 11:54:45 +08:00
|
4
jun0205 2018-02-28 11:56:45 +08:00 via Android
你这个数据都是服务端解密返回的。
可以看看我的 pastechar.com 加密完全在浏览器本地处理,服务端不保存完整的加密 key,也无法解密数据,需要完整的 URL 才能打开。 |
6
crab 2018-02-28 11:58:19 +08:00
浏览器页面放大下,表单文字没对齐。
|
10
chroming 2018-02-28 12:12:17 +08:00 via Android
适合分享磁力
|
14
TinySec OP @jun0205 这个密码,我的理解是,相当于网盘里文件的加密分享。小范围的分,有密码才能看。
wordpress 文章可以设置密码,也是这个道理。 这其中的安全性,主要是靠匿名+强制 SSL 来保证。 这里的安全更多的指的是分享的安全,有需要的同学可能会比较理解这个初衷。 |
15
chinvo 2018-02-28 12:51:00 +08:00
@TinySec #14 你的说法不太正确。分享安全的前提是数据安全。你的加密逻辑、加密流程和数据存储不能得到审计和保障,数据都不一定安全何谈分享安全。
如果你要类比 Wordpress,那么你得提供可以自托管的程序,因为 Wordpress 的数据保存在自己服务器上,我可以认定为是安全的。 如果你要类比网盘,那么就没有可比性了,大部分人为了数据安全选择先 7z 加密压缩再上传网盘。你这个工具如果以同样的方式去用,那么就完全没有存在价值,不如直接 gpg。 |
16
thinks 2018-02-28 12:52:57 +08:00 via Android
适合飙车用。
|
18
chinvo 2018-02-28 12:57:29 +08:00
|
19
TinySec OP 这个工具的初衷,是一个安全方便易用的文本工具,需要在安全和易用性之间,进行某种妥协。
不知道有没有同学用过 notepad.cc ,这个网站已经停服了,在停服之前有很多人用。 fox txt 其实就是 notepad.cc 的一个升级版,加了 markdown,密码,过期时间的支持。 |
20
chinvo 2018-02-28 13:00:13 +08:00
|
21
AlisaDestiny 2018-02-28 14:33:18 +08:00
@jun0205 老铁。你这个发布成功没啥反应,我以为卡了。连点了几次 Create Paste。再乍一看,右边多了一连串的 History Pastes.
|
22
jun0205 2018-02-28 14:36:10 +08:00 via Android
@AlisaDestiny 最上面应该是有提示,不太明显,目前主要自己和朋友在用,有时间改下
|
24
smg 2018-02-28 15:23:16 +08:00
|
25
ymcyyf 2018-03-01 00:41:52 +08:00 1
偶然上来逛逛就看到漏洞收割机大大,先膜一发。
(以及这个论坛貌似只要有人做出什么东西,下面必然有人会回复“ XXX 早已实现了,且比楼主你做的好得多”,所以没必要在意某些人的评论…… |
27
lslqtz 2018-03-02 05:46:03 +08:00 via iPhone
加密算法不公开,传到服务端确实不放心…
还是建议用客户端的密码做个本地验证,但也不建议直接下发加密过的数据 先用密码的 hash 对比正确性,然后再下发加密数据客户端解密吧 |
28
TinySec OP 在创建时,保存这个 签名 key , 发布之后,就可以用这个 key 来证明你对这个 文本的所属权。
这样,使用一个 key ,解决了匿名归属证明问题。 https://foxtxt.com/v/rJ91Oyn_f |