John,
To je proste nezmysel. Časť, ktorá nemá otvorený zdroj, je manipulácia so súbormi na strane servera. Zverejnený kód presne ukazuje, čo sa nahráva a ako. Skutočnosť, že každý môže zobraziť zdrojový kód a vidieť, čo robí, je presne to, čo znamená transparentnosť. Je to úprimný kód, ktorý sa vykonáva priamo na stránke. Nie je v nej čo skrývať. Je to úplne zašifrované na strane klienta, čo je overiteľné (za predpokladu, že ste schopní čítať/porozumieť kódu). Okrem toho je kód zverejnený na GitHub. Stále si nie som istý, prečo hovoríte o SourceForge.
Možno by ste namiesto toho, aby ste projekt utláčali, mohli skúmať, klásť otázky alebo aspoň chrliť nepodložené a nesprávne tvrdenia. Beriem to osobne, pretože píšete veci, ktoré sú o projekte fakticky nepresné. Namiesto toho, aby ste sa pozreli na celý kód, ktorý Sam napísal, alebo na projekty, na ktorých verejne prispieva GitHub, vy sa zo všetkého pokúsite zaútočiť na jeho postavu zo zaniknutého startupu, ktorým je jeho e-mailová adresa viazaný na? To musel byť zlý vtip.
John,
Predpokladám, že nie ste veľmi oboznámení so softvérom s otvoreným zdrojovým kódom a s tým, aký je štandard pre tento druh vecí. To je v poriadku – celá komunita sa pohybuje veľmi rýchlo a najmä v posledných rokoch. SourceForge je dinosaurus, ktorý si pred mesiacmi pošramotil reputáciu manažérmi sťahovania a špinavými inštalátormi panelov s nástrojmi a väčšina aktívnych open source teraz žije na GitHub. V skutočnosti je oveľa otvorenejší pre všeobecnú komunitu na GitHub, než kedy bol alebo by bol na SourceForge.
Securesha.re je nový druh webovej aplikácie, kde väčšina funkcií prebieha priamo na klientovi, v prehľadnom zobrazení. Aby som ukázal svoj záväzok k tomu, neminifikujem ani nezahmlievam žiadny kód na stránke (čo je štandard, jednoducho preto, aby som ušetril na prenášanej veľkosti stránky). Na overenie, či sa šifrovanie vykonáva správne, a určité množstvo na overenie, či sa požiadavky správne odosielajú bez identifikačných informácií, je potrebné určité množstvo odborných znalostí v oblasti kódovania. Ak niekto dokáže to prvé, určite dokáže to druhé. Overenie žiadostí doslova trvá menej ako niekoľko minút; koniec koncov, robí to len dva: jeden na nahranie súboru a jeden na jeho stiahnutie.
Asi pred rokom sa na stránku pozrel malý dav používateľov Hacker News, keď sme to oznámili. Ich verdikt? Fungovalo to dobre, pravdepodobne by malo generovať dlhšie heslá, bolo to trochu mätúce. Boli to jednoduché veci, ktoré sa dali opraviť – tak som opravil všetky tieto problémy a stránka odvtedy šťastne chrlí súbory deň čo deň.
Chápem, že vaša spätná väzba je podľa vás úprimná, no nie je presná.
Neváhajte a skontrolujte kód vo svojom webovom inšpektorovi aj na https://github.com/STRML/securesha.re-client/tree/master/polymer - Najnovšia verzia stránky používa Web Components, takže je veľmi jednoduché ju sledovať, keď pochopíte základy.
Nakoniec, ak chcete používať službu, ktorá narába s vašimi osobnými údajmi, musíte jej buď slepo dôverovať, alebo si prečítať kód. Drvivá väčšina služieb, ktoré narábajú s vašimi osobnými údajmi (Gmail, Dropbox a pod.), nemá verejne dostupný zdrojový kód. Tento projekt áno. Ak mi neveríte, prečítajte si kód. Ak neviete prečítať kód, opýtajte sa niekoho, kto to vie. Verím, že Securesha.re zapĺňa mimoriadne dôležité miesto, pretože jeho správnosť sa v skutočnosti *dá* overiť, na rozdiel od mnohých bezpečnostných služieb s uzavretým zdrojom.
Dúfam, že sa tým niektoré veci vyjasnia.
Ahoj John, napísal som securesha.re pre Angelhack hackathon koncom roka 2012 (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). Kód je voľne dostupný na GitHub (https://github.com/STRML/securesha.re-client), takže každý môže kontrolovať kód.
Je to celkom jednoduché – v skutočnosti je to také jednoduché, že som to prepísal do niekoľkých veľkých webových rámcov ako experiment s programovaním. Backend nie je nič iné ako jednoduché ukladanie súborov s parametrami automatického mazania – zmaže vaše súbory po určitom počte zobrazení, alebo ak dosiahnu určitý vek. Aj keď tento segment nie je open source, je skutočne veľmi jednoduché overiť, že neexistujú žiadne identifikačné údaje resp heslá sa odosielajú na môj server - ak neveríte, spustite aplikáciu s otvoreným webovým inšpektorom ja.
Čo sa týka stránky „podozrivého vyberania peňazí“ – Tixelated bol zábavný experiment, ktorý sme ukončili asi pred 6 mesiacmi (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Medzitým som pracoval na iných projektoch, ale zatiaľ nič verejné.
Ak máte akékoľvek otázky týkajúce sa aplikácie, veľmi rád na ne odpoviem. Zatiaľ je to len stránka s dôkazom koncepcie a jej používanie je bezpečné, ale ak narazíte na nejaké chyby, odošlite problémy do úložiska GitHub a ja ich rýchlo opravím.
Ďakujeme, že ste sa pozreli na stránku. Nečakal som, že sa to teraz dostane do tlače – tento článok podnietil zmienku o Lifehackeri a teraz dostávam dosť e-mailov na (relatívne) starý projekt!
Nemôžem hovoriť za nástroj č. 1, ale váš komentár je pre SecureSha.re nezmyselný. Zrieknutie sa zodpovednosti: Bol som v pôvodnom tíme, ktorý to vytvoril v AngelHack.
Neexistuje spôsob, ako overiť pravosť stránky? Zverejní sa celý zdrojový kód. Všetko sa deje na strane klienta v javascripte, takže môžete skutočne vidieť všetko, čo robí. Všetko, čo robí, je uloženie binárneho súboru (zašifrovaného už vami vo vašom prehliadači). Naozaj netušíš, o čom hovoríš.