@kalvn

Le truc de @framasky est déjà auto-hébergeable non ?
Il y a quelque chose de mieux dans le Send en question ?

@lienrag Tu parles de Framadrop je crois c'est ça ? Je ne sais pas s'il gĂšre le chiffrement cĂŽtĂ© client mais Send le fait. AprĂšs, mĂȘme s'ils sont Ă©quivalents en terme de fonctionnalitĂ©s c'est toujours bien d'avoir diffĂ©rentes options :)

@kalvn Oui, LufiÂč gĂšre le chiffrement cotĂ© clientÂČ

1. C'est le nom de logiciel. Framadrop c'est le nom de lhinstance de framasoft. Comme mamot est le nom d'une instance Mastodon (le logiciel) et non pas le nom du logiciel.
2. Ça reste du chiffrement en javacript avec la clĂ© contenue dans l'URL
 C'est « pratique » pour le partage rapide. Ça ne replace du « vrai » chiffrement avec un outil desktop et des clĂ©r qui reste privĂ©es, si on parle de donnĂ©es sensibles.

@lienrag

@devnull @lienrag Merci je n'avais plus le nom de Lufi en tĂȘte :)

Oui ce n'est pas gage de sécurité à proprement parler, ça signifie juste que le serveur n'a pas accÚs aux fichiers uploadés ce qui peut rassurer si tu comptes proposer le service sur ton serveur à d'autres utilisateurs.

@kalvn Mouais, pour tout outil de chiffrement « cotĂ© client Â» basĂ© sur du web
 Ce n'est pas tout a fait vrai. Le serveur ne peut pas avoir accĂšs au contenu QUE SI il ne logge pas toute la requĂȘte (tous les param d'URL, donc avec la clĂ©).

En tant qu’utilisateurs d'un service en ligne gĂ©rĂ© par tiers, c'est juste impossible de vĂ©rifier ce que le serveur logge ou pas. Et ça peut ĂȘtre changĂ© Ă  tout moment par l'admin du serveur
 À part choisir Ă  qui faire confiance sans pouvoir contrĂŽler

@lienrag

@kalvn Dans le meilleurs des cas, si l'admin est honnĂȘte, et vĂ©rifie correctement sa config de logs de serveur web
 Ça protĂšge *temporairement et uniquement anciensÂč en car oĂč le serveur est trouĂ©. Si le pirate change le format de logs pour inclure tous les paramĂštres d'URL, il lui suffit d’attendre que les requĂȘtes tombent pour rĂ©cupĂ©rer les clĂ©s correspondantes..

Le seul moyen de vraiment chiffre coté client
 C'est le le faire avec les bons outils, en dehors du web


@lienrag

@kalvn

1. Anciens contenus. C'est Ă  dire ceux mis sur le serveur avant qu'il se face trouĂ© et aux quelles plus personne n’accĂ©dera ni manuellement ni automatiquement (URL qui traĂźnent dans des pages web (balises img ou Ă©quivalent)) aprĂšs le piratage du serveur. Donc mĂȘme si on choisi bien son instance et qu'en face y a admin honnĂȘte. Si jamais le serveur est trouĂ© par un tiens, toute requĂȘte aprĂšs ça est potentiellement loggĂ©e Ă  l'insu des utilisateurs et de l'admin


@lienrag

@devnull @lienrag Oui et non, en principe ce genre d'outils web avec chiffrement cÎté client stockent la clé de déchiffrement dans le hash de l'URL (aprÚs le #) qui n'est pas envoyé par le navigateur au serveur. Donc si on s'en tient aux logs uniquement, la clé n'est pas censée apparaßtre cÎté serveur.

AprĂšs rien n'empĂȘche l'hĂ©bergeur du service d'inclure un script cĂŽtĂ© client qui rĂ©cupĂšre le hash et l'envoie au serveur dans un second temps.

@kalvn @devnull

Normalement il devrait ĂȘtre possible de signer le javascript d'un site et de vĂ©rifier la signature avant exĂ©cution, non ?
Ce serait bien comme extension pour un navigateur et ça rÚglerait ce genre de problÚmes...

@lienrag @devnull C'est possible oui, mais c'est plus pour protĂ©ger au cas oĂč le script est modifiĂ© lors de sa rĂ©cupĂ©ration par le navigateur. Dans ce cas la signature ne correspond pas et le navigateur bloque la requĂȘte. Mais si le script est "legit" du point de vue de la plateforme, le navigateur n'a aucun moyen de savoir qu'il espionne ses utilisateurs.

Follow

@kalvn
Ben si c'est du logiciel libre, il suffit de regarder le code, non ?

@devnull

· · Sengi · 1 · 0 · 0

@lienrag Non, regarder le code source sert si tu hĂ©berge ton propre service, pour savoir si le loqiciel tel quel est clean. Ça ne te dit rien sur le code ajoutĂ© ou modifiĂ© pour ĂȘtre mis en prod sur le serveur d'un tiers, que tu ne peut pas contrĂŽler.

@kalvn

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!