Безопасный сервис обмена текстом

[lorien]

Накодил вот такую штуку: http://bin.so
Казалось бы обычный pastebin, но есть особенность. Можно указать пароль и тогда текст зашифруется прямо в браузере и на сервер отправится в зашифрованном виде. То есть даже админ (т.е я) не сможет его прочитать. Ещё все дампы закрыты от индексирования поисковиками. А ещё у каждого дампа уникальный мусорный урл, так что перебором не получится все адреса перебрать на сайте
Исходный код сайта доступен, можно поднять свой сайт, если хочется: http://github.com/lorien/sbin
Не знаю, в том ли разделе создал темку. Проект некоммерческий. Рекламу не показывает

[dady]

Цитата:

Сообщение от Hector

dady,

http://bin.so/dump/add

POST /dump/add HTTP/1.1
data=eyJpdiI6IllPaVN5ckhZNjZidlFjV0d2U2ZJeUE9PSIsI nYiOjEsIml0ZXIiOjEwMDAwLCJrcyI6MTI4LCJ0cyI6NjQsIm1 vZGUiOiJjY20iLCJhZGF0YSI6IiIsImNpcGhlciI6ImFlcyIsI nNhbHQiOiI5d29DNlpFMHo4bz0iLCJjdCI6Ik13QjhvVTBNQnA 1dmtYdGI1SkZyYVRNWGZvTT0ifQ%3D%3D&iambot=&password =123&has_password=yes

Он заюзал опенсорс JS библиотеку для шифрования данных.

То есть по нажатию кнопки сабмит на сервер улетает только дамп?

[lorien]

По нажатию кнопки "Encrypt & Submit" дамп шифруется прямо в браузере вашим паролем и на сервер уходит уже зашифрованный дамп.

Когда вы отрываете страницу с зашиврованным дампом, то вам в начале показывается куча байтов (это то что хранится на сервере), если вы вводите пароль, то куча байт расшифровывается прямо в браузере.

Цитата:

Сообщение от Hector

POST /dump/add HTTP/1.1
data=eyJpdiI6IllPaVN5ckhZNjZidlFjV0d2U2ZJeUE9PSIsI nYiOjEsIml0ZXIiOjEwMDAwLCJrcyI6MTI4LCJ0cyI6NjQsIm1 vZGUiOiJjY20iLCJhZGF0YSI6IiIsImNpcGhlciI6ImFlcyIsI nNhbHQiOiI5d29DNlpFMHo4bz0iLCJjdCI6Ik13QjhvVTBNQnA 1dmtYdGI1SkZyYVRNWGZvTT0ifQ%3D%3D&iambot=&password =123&has_password=yes

Хм, лол. Вообще, пароль не должен отсылаться на сервер Я думал, я это пофиксил, но видимо бага осталась.

UPD: пофиксил багу с отсылкой пароля

[lorien]

Уфф, убил весь день, но таки получилось написать на питоне код, для расшифровки данных с bin.so. Данные шифруются с помощью javascript, а дешифруются с помощью python. Естественно, при знании пароля. Сделал это, чтобы проверить, что JS либа правильно шифрует данные. Как минимум другие крипто-инструменты могут расшифровать эти данные. Вот код, можете на своих дампах проверить, если интересно, там надо урл и пароль в коде изменить: http://dumpz.org/2440925/

[digg]

теперь пали рабочую тему в крипченный текст и прикручивай билинг к паролям ))

[lorien]

Сделал HTTPS

[Gimly]

Я еще полтора года назад 100% аналогичный сервис постил, http://www.gofuckbiz.com/showthread.php?t=41875&page=2 , с тех пор еще много таких видел.
Какой смысл плодить сущнусти? Тем более, если проекты не комерческие.

[lorien]

Цитата:

Сообщение от Gimly

Какой смысл плодить сущнусти?

Just for fun, бро, just for fun.Я, например, узнал несколько новых вещей, когда делал этот сервис. В JS есть несколько крипто-библиотек. Почему ты именно Crypto-JS выбрал?

[lorien]

Зацените дурь: pastebin сервис, который использует другие pastebin сервисы в качестве базы данных Ну и конечно дампы шифруются: https://lorien.github.io/metabin/metabin.html Весь прикол, что всё приложение находится в одном HTML-файле. Можно залить эту HTML-ку на любой хостинг и у вас будет "свой" pastebin сервис