Džons,
Tas ir vienkārši bezjēdzīgi. Daļa, kas nav atvērta, ir failu apstrāde servera pusē. Publicētais kods precīzi parāda, kas un kā tiek augšupielādēts. Tas, ka ikviens var apskatīt avota kodu un redzēt, ko tas dara, ir tieši tas, ko nozīmē caurspīdīgums. Tas ir godīgs Dievam kods, kas tiek izpildīts tieši vietnē. Tajā nav ko slēpt. Tas ir pilnībā šifrēts klienta pusē, kas ir pārbaudāms (pieņemot, ka varat lasīt/saprast kodu). Turklāt kods ir publicēts vietnē GitHub. Es joprojām neesmu pārliecināts, kāpēc jūs runājat par SourceForge.
Iespējams, tā vietā, lai apvainotu projektu, jūs varētu veikt izpēti, uzdot jautājumus vai vismaz ne tikai izteikt nepamatotus un nepareizus apgalvojumus. Es to uztveru personīgi, jo jūs rakstāt lietas, kas par projektu ir faktiski neprecīzas. Turklāt tā vietā, lai aplūkotu visu kodu, ko Sems ir uzrakstījis, vai projektus, kuros viņš publiski piedalās GitHub, jūs mēģināt uzbrukt viņa varonim no neveiksmīga starta, kas ir viņa e-pasta adrese piesiets? Tas noteikti bija slikts joks.
Džons,
Es pieņemu, ka jūs vienkārši nepārzināt atvērtā pirmkoda programmatūru un to, kāds ir šāda veida lietu standarts. Tas ir labi — visa kopiena pārvietojas ļoti ātri, īpaši pēdējos gados. SourceForge ir dinozaurs, kas pirms mēnešiem sabojāja savu reputāciju ar lejupielādes pārvaldniekiem un nekaunīgiem rīkjoslas instalētājiem, un lielākā daļa aktīvā atvērtā koda tagad atrodas vietnē GitHub. Faktiski tas ir daudz atvērtāks visai sabiedrībai GitHub, nekā tas jebkad bija vai būtu SourceForge.
Securesha.re ir jauna veida tīmekļa lietojumprogramma, kurā lielākā daļa funkcionalitātes tiek nodrošinātas tieši uz klienta, tiešā skatā. Lai apliecinātu savu apņemšanos pret to, es nesamazinu un neaptumšoju nevienu vietnes kodu (kas ir standarta, lai vienkārši ietaupītu vietnes pārraidīto izmēru). Ir vajadzīgas noteiktas zināšanas kodēšanas jomā, lai pārbaudītu, vai šifrēšana tiek veikta pareizi, un zināma daļa, lai pārbaudītu, vai pieprasījumi tiek pareizi nosūtīti bez identifikācijas informācijas. Ja kāds var izdarīt pirmo, viņi noteikti var izdarīt otro. Pieprasījumu pārbaude burtiski aizņem mazāk nekā dažas minūtes; galu galā tas veido tikai divus: vienu, lai augšupielādētu failu, un vienu, lai to lejupielādētu.
Apmēram pirms gada neliels Hacker News lietotāju pūlis apskatīja vietni pēc tam, kad mēs par to paziņojām. Viņu spriedums? Tas darbojās labi, iespējams, vajadzētu ģenerēt garākas paroles, bija nedaudz mulsinoši. Tās bija vienkāršas lietas, kas jālabo — tāpēc es novērsu visas šīs problēmas, un kopš tā laika vietne ar prieku kuļoja failus dienu no dienas.
Es saprotu, ka jūsu atsauksmes ir godīgas, taču tās nav precīzas.
Jūtieties brīvi pārbaudīt kodu gan savā tīmekļa inspektorā, gan vietnē https://github.com/STRML/securesha.re-client/tree/master/polymer - Vietnes jaunākajā versijā tiek izmantots Web komponenti, tāpēc, kad esat sapratis pamatus, to ir ļoti viegli sekot.
Galu galā, ja vēlaties izmantot pakalpojumu, kas apstrādā jūsu personas datus, jums ir vai nu akli tam jāuzticas, vai arī jāizlasa kods. Lielākajai daļai pakalpojumu, kas apstrādā jūsu personas datus (Gmail, Dropbox utt.), nav publiski pieejama pirmkoda. Šis projekts to dara. Ja neticat, izlasiet kodu. Ja nevarat izlasīt kodu, pajautājiet kādam, kurš to var. Es uzskatu, ka Securesha.re aizpilda īpaši svarīgu nišu, jo tā pareizību faktiski *var* pārbaudīt, atšķirībā no daudziem slēgtā pirmkoda drošības pakalpojumiem.
Es ceru, ka tas noskaidro dažas lietas.
Sveiki, Džon, es uzrakstīju securesha.re par Angelhack hakatonu 2012. gada beigās (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). Kods ir brīvi pieejams vietnē GitHub (https://github.com/STRML/securesha.re-client), lai ikviens varētu pārbaudīt kodu.
Tas ir diezgan vienkārši – patiesībā tik vienkārši esmu to pārrakstījis dažos lielos tīmekļa ietvaros kā programmēšanas eksperimentu. Aizmugursistēma ir nekas vairāk kā vienkārša failu krātuve ar automātiskas dzēšanas parametriem — tā izdzēsīs jūsu failus pēc noteikta skatījumu skaita vai arī tad, ja tie sasniegs noteiktu vecumu. Lai gan šis segments nav atvērtā koda, ir ļoti vienkārši pārbaudīt, vai nav identificējošu datu vai paroles tiek sūtītas uz manu serveri — palaidiet lietotni ar atvērtu tīmekļa inspektoru, ja neticat es.
Kas attiecas uz "aizdomīgo naudas vākšanas vietni" - Tixelated bija jautrs eksperiments, kuru mēs slēdzām apmēram pirms 6 mēnešiem (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Pa šo laiku esmu strādājis pie citiem projektiem, bet vēl nekas nav publiski pieejams.
Ja jums ir kādi jautājumi par lietotni, es ar prieku atbildēšu uz tiem. Pagaidām tas ir tikai vietnes koncepcijas pierādījums un ir droši lietojams, taču, ja rodas kādas kļūdas, lūdzu, iesniedziet problēmas GitHub repozitorijā, un es tās ātri izlabošu.
Paldies, ka apskatījāt vietni. Es negaidīju, ka tagad saņemšu nekādu presi par šo — šis raksts mudināja pieminēt Lifehacker, un tagad es saņemu diezgan daudz e-pasta ziņojumu par (salīdzinoši) vecu projektu!
Es nevaru runāt par rīku Nr. 1, taču jūsu komentārs nav jēgas SecureSha.re. Atruna: es biju sākotnējā komandā, kas to izveidoja uzņēmumā AngelHack.
Vai nevarat pārbaudīt vietnes autentiskumu? Viss pirmkods ir publicēts. Javascript viss notiek klienta pusē, tāpēc jūs faktiski varat redzēt visu, ko tas dara. Viss, ko tas dara, ir saglabāt bināro failu (jūs jau esat to šifrējis savā pārlūkprogrammā). Jums tiešām nav ne jausmas, par ko jūs runājat.