Názory k článku
Jako Google Docs, ale bez špehování. Češi zdarma spouští službu CryptPad
-
V tomhle případě je to samozřejmě trochu ohnuté, druhý konec spojení je buďto ten samý uživatel nebo jeho spolupracovník který má klíče k dešifrování.
Význam je ale analogický jako u E2EE messengerů (Signal, Threema apod.) kdy my, jako správci serveru s kompletní kontrolou nad ním nemáme možnost uživatelská data číst, protože v čitelné formě nikdy neopustí zařízení uživatele.
A samozřejmě je tu možnost kdyby útočník (nebo my) podvrhl javascript který uživatel dostává, ale to je dost těžko řešitelný problém víceméně u všech moderních služeb které nějakou formou E2EE řeší - musíte věřit klientovi kterého dostane do poskytovatele nebo používat vlastního.
-
Musím říct, že mi dost vadí, že to PR jede jako by Češi tu službu vyvinuli. Přitom je to jen instalace původního https://CryptPad.fr, kde máte možnost přispět původním autorům tohoto programu.
-
ad E2E: Kde se to děje jinak? Když vynecháme uživatelsky nepoužitelné manuální PGP, uživatel se u podobných nástrojů (Signal, Protonmail, Threema, atd.) skoro vždy spoléhá na to že má validního klienta který se mu nesnaží ukrást data. Autoři (XWiki SAS) řeší nějakou možnost validace javascriptu u uživatele, ale zatím je to spíš ve fázi úvah.
A slovo "autoři" ve spojení s námi skutečně použila Lupa, podobný nástroj jsme pro veřejnost spustili již po několikáté a nikdy jsme netvrdili že jsme jejich autory, až do vydání tohoto článku nám nedávalo smysl explicitně deklarovat že autory nejsme (a asi to radši začneme dělat). Nevydáváme tiskovky které bychom pak posílali médiím, o tom že jsme u nás CryptPad spustili jsme napsali akorát na twitter.
Místo psaní žlučovitých komentářů jsme radši v CryptPadu odreportovali a opravili pár chyb, udělali jim překlad do češtiny a posíláme jim (i přes náš minimalistický rozpočet) peníze na další vývoj.
-
Možná, každopádně autoři pouze uvádějí svůj postoj, ale uživatele k ničemu nezavazují (alespoň jsem nenašel). Můžete nástroje využívat i pro budování kapitalismu. Koneckonců jsou to jen nástroje, ty nejsou z podstaty ani dobré, ani špatné.
(Obecně to vyjádření je sporné, může znamenat kdeco od skutečné ochrany svobod až po teror domnělých viníků.)
-
Pořád jen samé výmluvy. To, že to tak dělají ostatní, přece vůbec neznamená, že to máte nazývat špatně. Byl by takový problém napsat třeba: „na rozdíl od Google Docs apod. nejsou data na serveru uložena v otevřeném tvaru a jsou šifrována JavaScriptem přímo v prohlížeči“?
Na Twitteru jste nenapsali, že jste „u vás spustili“, ale že „mezi vaše nástroje přidáváte“ a že „vaše služby jsou zdarma“. Z toho tedy úplně není jasné, že to jen provozujete. Já jsem ten tweet také pochopil tak, že je to vaše aplikace.
-
Zkusil jsem a zatím jdu od toho. Dařilo se mi tam nahrát dokumenty z wordu, ale už nic s nimi, jedině stáhnout. Nepodařilo se mi nijak hotový text do toho dostat, snad jedině CopyPaste. Drive má pro registrovaného velikost 1GB, což stačí tak na holé texty.
Pokud se to vylepší, zkusím to, prozatím zůstávám u Google Drive, pokud potřebuju cloudové řešení.
Možná jsem jen něco nepochopil. -
Ono je to celé takové „ohnuté“. „E2E šifrování“ neznamená E2E šifrování, ale že to jejich skript dešifruje v prohlížeči. „Narozdíl od Google Drive apod. […] nevyděláváme analýzou a projedem vašich osobních informací“ neznamená, že by Google analyzoval a prodával informace uložené na Google Drive. Ani že by je projídal… (Google Docs spellchecker má, CryptPad asi ne.) „My se k nim proto nemůžeme dostat ani kdybychom chtěli“ znamená, že kdyby chtěli, mohou se k datům dostat skrze zmanipulované skripty v prohlížeči, na což by se mohlo přijít, ale nemuselo. A „autoři“ znamená, že to nainstalovali na svůj server (a určitě budou říkat, že oni nic, že slovo „autoři“ použila Lupa).
ČLÁNKY DO MAILU