[e-privacy] resistenza crittografica delle reti di AR
vecna
vecna at s0ftpj.org
Fri Aug 15 02:06:37 CEST 2008
> aggiuntina: ieri, preso dalla curiosità per vedere risbucare fuori questa
> estensione, l'ho scaricata e ci ho buttato un altra occhiata. non è
> cambiato nulla :-/
> bugfixing e qualche funzionalità in più, certo, ma per gli autori è ancora
> ok che l'estensioni si metta a lanciare programmi nascosti. non ho
> controllato la generazione del file temporaneo con la password ma credo
> sia rimasta pure quella.
a dir il vero, quando parlavo di "stabilizzare", parlavo dell'aspetto
password. un plugin mozilla corretto si affiderebbe al gestore delle
password (quello protetto dalla master password) anziche' ad un file
temporaneo, certo...
ma anche enigmail lancia gpg di "nascosto", il lancio di programmi che
svolgono funzioni esterne non e' cosi' corretto, a patto siano gestiti
correttamente i valori di ritorno e l'interpretazione dell'output.
> beh... oddio non c'è una chiamata js per lanciare i programmi? e le
> estensioni non sono altro che un insieme di js e finestrelle del browser
> (più immagini, eseguibili di supporto e chi più ne ha più ne metta)
si, l'hack sta nel fatto che viene usato gpg sul web e si usano dei file
d'appoggio :) mancano degli standard per la comunicazione cifrata, per
la verifica e per la firma. e poi, OpenPGP applicato al web e' sensato o
e' un hack come ethernet over wifi (cioe', che non essendo previso per
questo ha dato problemi) ? ad esempio, i contenuti attivi (js/ajax),
firmati, possono rappresentare un problema di sicurezza, se non
adeguatamente trattato.
> il problema è che "il modo" esiste già, ma gli sviluppatori di firegpg non
> sembrano interessati a usarlo!
> e il modo è la strada scelta dagli sviluppatori di enigmail che hanno
> scritto questa architettura client/server per lanciare via js degli
> eseguibili in maniera più sicura che spawnare un terminale.
il motivo per cui enigmail ha usato un modulo in c++ e poi le interfacce
js/xul e' che enigmail lavora sull'email in uscita, si tratta di un
layer che gli sviluppatori di mozzilla non hanno previso di dare
accessibile :)
inoltre, se si programma in c++ ci si trova con una grave quantita' di
dipendenze in relazione al sistema operativo, amenoche' non ci si
appoggi interamente al framework mozilla, rendendo quindi compilabile il
tutto senza problemi, ma al prezzo di uno studio considerevole.
> Lancio una proposta: c'è il moca in arrivo, se l'idea di una integrazione
> migliore tra firefox e gpg vi sconfiffera ci si può trovare e cercare di
> integrare questa benedetta javascript IPC in fireGPG, vi interessa?
secondo me c'e' da venire a patti con quello che e' accettabile (avvio
di nascosto, eventualmente distribuzione di e quello che e'
migliorabile, e ottenere cosi' un framework per l'uso del web of trust,
per la cifratura/decifratura, per la verifica di firme e per la firma di
porzioni di dati inviati.
poi da li', blog cifrati, blog firmati, parzialita' d'accesso per web of
trust, anonymous remailing ... diventa possibile usare elementi di
crittografia con l'accessibilita' che ha un browser + un plugin,
rispetto che all'uso di server/client appositi.
ciao ciao,
vecna
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 249 bytes
Desc: OpenPGP digital signature
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20080815/e9a31f3a/attachment.pgp>
More information about the E-privacy
mailing list