¿Alguien ha realizado un análisis del sistema y ha escrito un
papel blanco?
Sí, aquí está el Informe del Pentest público de Cure53 para Cryptocat 2 (PDF) , y esta es su conclusión:
Conclusión
Cryptocat 2 ha alcanzado un gran nivel de madurez en un período muy corto
de tiempo. Es digno de elogio que el equipo de desarrollo haya demostrado ser excelente.
experiencia en la creación de código seguro, a pesar de la complejidad de
la tarea a mano. Si bien el proceso de comunicación es crítico en el
Marco de auditorías dinámicamente actualizado (tanto durante la asignación
y después de su finalización), fue excepcionalmente bien manejado en
este caso, resultando en las cuestiones discutidas adquiriendo casi
Arreglos inmediatos. Ilustrémoslo diciendo que en varias
ocasiones retroalimentación con notificación de corrección exitosa ha logrado
¡Póngase en contacto con nosotros al mismo tiempo para seguir con la preparación del correo electrónico!
Sin embargo, los problemas que hemos visto subrayan la importancia de
una arquitectura de seguridad bien planificada y bien implementada dentro de
Extensiones de navegador. Hay que recordar que una vulnerabilidad que
provoca una ejecución de script bastante inofensiva en la aplicación web
En el contexto, podría convertirse en una escalada de privilegios perjudicial
o ejecución remota de código cuando se descubre y explota en una
extensión del navegador. Cure53 quisiera agradecer a Radio Free Asia, la
todo el equipo de desarrollo de Cryptocat y Nadim Kobeissi en particular, para
Este desafiante y completo proyecto de gestión profesional.
EDITAR: también me gustaría remitirlo a esta explicación simple pero efectiva de @ Adnan sobre las diferencias entre qué Cryptocat solía ser, y cuál es el cambio más esencial en su modelo de confianza / seguridad desde que se mudó a Cryptocat 2:
Al mover el código a un complemento del navegador, ahora debe confiar en el
fuente sólo la primera vez que descargue el código. Comunicacion todavia
Ocurre entre usted y el servidor, el cifrado y el descifrado todavía
Ocurre en su navegador, el código sigue siendo JavaScript y HTML5. los
La única diferencia aquí es que la próxima vez que se conecte a CryptoCat
servidores, no necesita confiar en el código que le envían. El codigo en
su navegador todo el tiempo, puede auditarlo y verificarlo cada vez que
querer.
Lea la respuesta completa para una mejor perspectiva de lo que se está discutiendo en ese hilo, solo he incluido un breve extracto de él, que no quiere imponerse a los propios esfuerzos de Adnan.