es Cryptpad seguro para uso corporativo (registros que incluyen nombres de host, IP y configuración interna) [cerrado]

0

No tenemos un Gist interno para compartir fragmentos de fragmentos y registros con otros colaboradores.

¿Es seguro usar este servicio web?

cita de GitHub sitio :

  

CryptPad es privado, no anónimo. La privacidad protege tus datos,   el anonimato te protege Como tal, es posible que un colaborador en   la almohadilla para incluir algunas cosas tontas / feas / desagradables en una CryptPad como   una imagen que revela su dirección IP cuando su navegador automáticamente   lo carga o un guión que reproduce los grandes éxitos de Rick Astleys. Es   Posible para quien no tenga la llave para poder cambiar.   cualquier cosa en el pad o añadir algo, incluso el servidor, sin embargo, el   los clientes notarán esto porque los hashes de contenido en ChainPad lo harán   no se puede validar.

     

El servidor tiene un cierto poder, puede enviarte un malvado javascript   que hace lo incorrecto (filtra la clave o los datos de vuelta al   servidor o a otra persona). Este es sin embargo un ataque activo que   lo hace detectable. La NSA realmente odia hacer esto porque   podría quedar atrapado y reírse y humillarse frente a todo   mundo (de nuevo). Si estás haciendo que la NSA se enoje lo suficiente como para que usen un   ataque activo contra ti, gran éxito Highfive, ahora toma el   Quite la batería de su computadora antes de que aparezca el Agente Smith.

     

Todavía hay otras vidas bajas en el mundo, así que usar CryptPad sobre   HTTPS es probablemente una buena idea.

    
pregunta Ivanov 14.01.2017 - 17:21
fuente

2 respuestas

2

Divulgación: soy un desarrollador de CryptPad.

La respuesta a su pregunta se basa en cuánta seguridad necesita. La idea de CryptPad es que sea verificable ética , podemos probar que no estamos haciendo una recopilación masiva de datos porque si lo fuéramos, alguien nos atraparía eventualmente. Por lo tanto, somos verificadamente mejores que casi todos los demás servicios disponibles porque con CryptPad, no está cargando ciegamente sus datos y confía en que nunca ingresemos a la base de datos y los lea.

No podemos (en este punto) probar que no vamos a filtrar sus datos, si por alguna razón estuviéramos muy interesados en usted, posiblemente podríamos correr el riesgo de ser atrapados sirviendo al mal JavaScript para obtener acceso a sus datos.

tl; dr es mejor que prácticamente cualquier servidor de nube disponible, pero no mejor que alojar en su propia infraestructura. Sin embargo, si elige alojar algo en su propia infraestructura, es posible que desee utilizar una solución de Cero Conocimiento como CryptPad, a menos que realmente confíe en los administradores de su sistema.

    
respondido por el Caleb James DeLisle 07.03.2017 - 12:13
fuente
1

Si instala CryptPad por usted mismo, es probable que sea seguro. Si usa un servicio público existente, no tiene control sobre el Javascript que se usa para manejar los datos no cifrados en el navegador local, lo que significa que debe confiar plenamente en los proveedores de este servicio que no tienen intenciones maliciosas y que nadie puede hacerlo. Para hackear su servidor y cambiar el Javascript.

    
respondido por el Steffen Ullrich 14.01.2017 - 19:53
fuente

Lea otras preguntas en las etiquetas