id: Гость   вход   регистрация
текущее время 23:54 28/03/2024
Автор темы: Piano, тема открыта 12/05/2016 08:54 Печать
Категории: анонимность
http://www.pgpru.com/Форум/АнонимностьВИнтернет/CryptocatСовсемНепонятноеТворение
создать
просмотр
ссылки

Люди, помогите, уже ночь долбаюсь с этим непонятным твоернием: CRYPTOCAT! https://crypto.cat


Началось с того, что понадобился быстрый безопасный чат. Сначал выбрал Firetalk, но исходники выложеный пятилетней давности, а новые насколько вкурил ситуацию, автор делится не собирается. К тому же на вашем форуме этот "пламенный разговор" раскритиковали: https://www.pgpru.com/forum/an.....s=1&p=1#Comment59626 так что фиг с ним.


Поэтому совредоточился на "криптокошке". Изучал ее вдоль и поперек на разных сайтах и обнаружил такие странности:
1. Хотя всюду утверждается что на браузеры нада установить кошкин плагин который вроде есть на сайте, но нигде его там не нашел.
2. То же самое: этого плагина нет в аддонах Файрфокса.
Окуда же он берется?
3. Тогда решил начать с конца. то есть установть серверную часть. Да, она установилась без проблем.
Когда запустил ее в рвботу файлом Cryptocat показалось окошко для ввода логина и пароля. По идее их для начала надо быо его создать, поэтому нажал кнопку Create Login.
4. Какое же было мое удивление когда после этот открылся браузер по адресу https://crypto.cat !!!
Это же какойто пипец! Я же запустил собственный сервер, чего же он поперся на чужой сайт? Или только там создаются учетки?? Тогда это кошачий чат нафиг никому не нужен!


Пожалуйста объсяните работу этой непонятной программы. Или я гдето в сових руссужедниях и действяих ошибаюсь, или действительно эта программа фуфло.


 
На страницу: 1, 2 След.
Комментарии
— SATtva (12/05/2016 09:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Так было с прежней версией. Новая (находится в стадии беты) представляет собой standalone-клиент.


Удалён автором как неподдерживаемый.


Открыть https://crypto.cat/ и скачать оттуда клиент Вы, конечно, не догадались?
— Piano (12/05/2016 09:42, исправлен 12/05/2016 09:47)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16

Так я скачал и запустил нечто размером аж 40 метров Cryptocat-linux-x64.zip – так это был клиент?? Тогда ничо не понимаю :( Где ж тогда сервер??

— просто_Гость (12/05/2016 11:25, исправлен 12/05/2016 11:26)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

To Piano (12/05/2016 09:42, исправлен 12/05/2016 09:47)


Эта-то тема чем не устроила?



Здесь был

— SATtva (12/05/2016 11:27, исправлен 12/05/2016 11:28)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Там централизованный сервер, по крайней мере пока.



Там только название, самого файла нет.

— Piano (12/05/2016 12:00)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Эта-то тема чем не устроила?
Первым делом извините, не заметил :( Можно я продолжу здесь?

Там централизованный сервер, по крайней мере пока.
Тогда что же тогда скачал – клиент, что ли? Да такой огромный!
И что надо этим клиентом логиниться на чужом, не своем сервере?? Тогда получается что этот творец на ходу переобулся, выкинув браузерный плагин и разрабтал вмест его клиента?
Тогда чем "оно" лучше Pidgin – только усиленым шифрованием? Получается та же архитектура "клиент-сервер", да еще с чужим сервером?? И надо регестрироваться и т.п.??? Неееее, такой кузнец нам не нужен!!

Раз так, то подскажите пожалуйста что-то похожее по простоте использования на Firetaks но в отличие от него одобренного вами. Чтобы со стороны клиента выглядело тоже как вебсайт.
— SATtva (12/05/2016 12:09)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Любое статически слинкованное приложение больше такого же, слинкованного динамически (особенно применительно к тяжеловесным GUI-библиотекам). Если негде положить 40 Мб — собирайте из сорсов.


С браузерным плагином оно работало точно так же: плагин был клиентом к централизованному серверу (хотя была возможность подключиться к собственном XMPP-серверу).


Да. Вы не найдёте другого приложения со сквозным шифрованием и PFS и поддержкой синхронизации сообщений между несколькими клиентами.


Лол.
— гыук (12/05/2016 12:43, исправлен 12/05/2016 12:44)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Так берите любой месс и шлите pgp/gpg шифрованные сообщения.



Поправьте меня, но кажется в скрытых сервисах подобное добро присутствует.

— SATtva (12/05/2016 13:17)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Проблема любых реализаций на базе вебсайтов в эфемерности исполняемого кода: каждый раз с сайта подгружается какой-то js, который неизвестно что делает, аутентифицировать его крайне непрактично.
— Piano (12/05/2016 20:48)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Так берите любой месс и шлите pgp/gpg шифрованные сообщения.
Любой месс увы по простоте использования никак не сравнится с Firetalks, для которого нужен всего лишь браузер.

каждый раз с сайта подгружается какой-то js, который неизвестно что делает,
Понимаю но если сайт собственный, размещенный код на нем свой то получается все под контролем?
— sentaus (12/05/2016 21:26)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Firetalks

Это вот этот, который без https? Смешно, да.

Понимаю но если сайт собственный, размещенный код на нем свой то получается все под контролем?

При условии использования https да, но в пределах степени контроля за сайтом.
— Piano (12/05/2016 21:40)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Кмк, https есть принадлежность сайта (сервера), а не этого Firetalks, и прикрутить его не составляет проблем.
В таком случае как: уже серьезно, без смеха?
И ведь сам Firetalks шифрует трафик своими AES и прочее, это еще более серьезно?

но в пределах степени контроля за сайтом.

Предположим, что сайт, более того, сервер мой дедик, тогда как?
— sentaus (12/05/2016 21:49)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
В таком случае как: уже серьезно, без смеха?



И ведь сам Firetalks шифрует трафик своими AES и прочее, это еще более серьезно?

Смотря как там AES используется, например, вдруг там некорректно используется режим CBC, делая всю систему уязвимой к padding oracle? Надо смотреть исходники.



Предположим, что сайт, более того, сервер мой дедик, тогда как?


При условии доверия хостеру дедика всё нормально.
— Piano (12/05/2016 22:06)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Смотря как там AES используется, например, вдруг там некорректно используется режим CBC, делая всю систему уязвимой к padding oracle?
Ну конечно, если чтото некорерктно реализовано, то да. Но так все можно подвергнуть сомнению, и как тогда оценивать? Остается только предположить что реализация корректная, а там кто его знает.
Вобщем этот Firetalks если прикрутить к нему https,не так уж плох, как вы считаете?
— sentaus (12/05/2016 22:09, исправлен 12/05/2016 22:11)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Но так все можно подвергнуть сомнению, и как тогда оценивать?

Сделать code review и проанализировать дизайн криптографической схемы, использованной разработчиком. При отсутствии соответствующей документации далее считать приложение наколенной поделкой и выкинуть в печку.

— Piano (12/05/2016 22:21)   профиль/связь   <#>
комментариев: 110   документов: 17   редакций: 16
Сделать code review и проанализировать дизайн криптографической схемы,

Мда. Но ведь это сами знаете практически нереально. Даже для анализа кода Трукрипт понадобилась команда экспертов, деньги и время. Остальные продукты народ вынужедн юзать принимая на веру. Иначе получается 99% всех этих продуктов придется выбросить.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3