Tous les pastebin chiffrés ne se valent pas...
lundi 30 mars 2015 à 09:41J'aime tester les applications dans le genre de ZeroBin. Des fois on rigole bien: http://sebsauvage.net/galerie/photos/Bordel/2015-03-30_cryptbin.png
Ce que montre cette capture d'écran, c'est que les serveurs de Google reçoivent l'URL complète, AVEC LA CLÉ DE DÉCHIFFREMENT. Sur ce service, vos textes ne sont pas privés: Google a la liste de TOUS les messages postés avec TOUTES les clés. C'est juste une kolossale blague.
Méfiez-vous, tous les services ne se valent pas.
Sur mon ZeroBin, je vous garantie qu'il n'y a pas d'appel à un service externe. Même jQuery est servi localement.
EDIT: Je leur ai envoyé un email. PS: Même sans la fuite de la clé, avec les cookies et referer, Google sait qui a créé et lu les notes, et quand. Avec tout ce qui va avec Google: cookie d'identification, éventuelle géolocalisation sur navigateurs mobiles, etc.
EDIT 31 mars 2015: Le développeur a l'air de l'avoir mauvaise de ne pas avoir vu ça. Il va a priori corriger.
(Permalink)
Ce que montre cette capture d'écran, c'est que les serveurs de Google reçoivent l'URL complète, AVEC LA CLÉ DE DÉCHIFFREMENT. Sur ce service, vos textes ne sont pas privés: Google a la liste de TOUS les messages postés avec TOUTES les clés. C'est juste une kolossale blague.
Méfiez-vous, tous les services ne se valent pas.
Sur mon ZeroBin, je vous garantie qu'il n'y a pas d'appel à un service externe. Même jQuery est servi localement.
EDIT: Je leur ai envoyé un email. PS: Même sans la fuite de la clé, avec les cookies et referer, Google sait qui a créé et lu les notes, et quand. Avec tout ce qui va avec Google: cookie d'identification, éventuelle géolocalisation sur navigateurs mobiles, etc.
EDIT 31 mars 2015: Le développeur a l'air de l'avoir mauvaise de ne pas avoir vu ça. Il va a priori corriger.
(Permalink)