V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
TinySec
V2EX  ›  分享创造

支持密码的匿名文本分享工具 Fox Txt Service

  •  
  •   TinySec · 2018-02-28 11:11:38 +08:00 · 3804 次点击
    这是一个创建于 2479 天前的主题,其中的信息可能已经有所发展或是发生改变。

    第一次尝试了一下 WEB 开发,做了个非常简单的匿名文本分享工具。

    https://foxtxt.com/v/Bk6JT57uG

    支持 密码, 过期时间, 使用 sha256 简单解决证明问题。

    features

    • password
    • expire
    • sign and verify
    • full anonymous , no cookie , no session , no track.
    • github flavored markdown

    expire


    password


    sign and verify

    第 1 条附言  ·  2018-02-28 12:59:08 +08:00
    这个工具的初衷,是一个安全方便易用的文本工具,需要在安全和易用性之间,进行某种妥协。
    不知道有没有同学用过 notepad.cc ,这个网站已经停服了,在停服之前有很多人用。
    fox txt 其实就是 notepad.cc 的一个升级版,加了 markdown,密码,过期时间的支持。
    第 2 条附言  ·  2018-03-06 18:14:45 +08:00
    在创建时,保存这个 签名 key , 发布之后,就可以用这个 key 来证明你对这个 文本的所属权。
    这样,使用一个 key ,解决了匿名归属证明问题。

    https://foxtxt.com/v/rJ91Oyn_f
    28 条回复    2018-03-06 18:08:06 +08:00
    itopidea
        1
    itopidea  
       2018-02-28 11:29:48 +08:00
    TinySec
        2
    TinySec  
    OP
       2018-02-28 11:32:37 +08:00
    安全与易用性成反比,在纯文本的易用性和 PGP 加密的复杂度之间,为了安全的传递消息,一个妥协的方案是匿名带过期的分享。
    roogle
        3
    roogle  
       2018-02-28 11:54:45 +08:00
    哈哈哈,我来测试一下,大家点击链接输入密码试试过期了么?

    https://foxtxt.com/v/S122wjQOz 密码 123456
    jun0205
        4
    jun0205  
       2018-02-28 11:56:45 +08:00 via Android
    你这个数据都是服务端解密返回的。
    可以看看我的 pastechar.com 加密完全在浏览器本地处理,服务端不保存完整的加密 key,也无法解密数据,需要完整的 URL 才能打开。
    roogle
        5
    roogle  
       2018-02-28 11:56:50 +08:00
    @TinySec 能开源么?
    crab
        6
    crab  
       2018-02-28 11:58:19 +08:00
    浏览器页面放大下,表单文字没对齐。
    TinySec
        7
    TinySec  
    OP
       2018-02-28 12:08:23 +08:00
    @crab 表单用的是 bootstrap3 自带的对齐
    TinySec
        8
    TinySec  
    OP
       2018-02-28 12:08:51 +08:00
    @roogle 刚写完,暂时没有这个计划
    TinySec
        9
    TinySec  
    OP
       2018-02-28 12:10:24 +08:00
    @jun0205 在服务端加解密,考虑的是算法本身可以不公开。
    chroming
        10
    chroming  
       2018-02-28 12:12:17 +08:00 via Android
    适合分享磁力
    TinySec
        11
    TinySec  
    OP
       2018-02-28 12:16:49 +08:00
    @roogle 你写的过期时间,是到 2019 年。
    chinvo
        12
    chinvo  
       2018-02-28 12:24:49 +08:00
    @TinySec #9 但是不公开算法的“安全”产品并不能被认为是安全的,而且还要把明文和密钥都提交到服务器上
    jun0205
        13
    jun0205  
       2018-02-28 12:26:49 +08:00
    @TinySec 这样的话,加密是为什么,好像必要性不大。
    TinySec
        14
    TinySec  
    OP
       2018-02-28 12:46:46 +08:00
    @jun0205 这个密码,我的理解是,相当于网盘里文件的加密分享。小范围的分,有密码才能看。
    wordpress 文章可以设置密码,也是这个道理。
    这其中的安全性,主要是靠匿名+强制 SSL 来保证。

    这里的安全更多的指的是分享的安全,有需要的同学可能会比较理解这个初衷。
    chinvo
        15
    chinvo  
       2018-02-28 12:51:00 +08:00
    @TinySec #14 你的说法不太正确。分享安全的前提是数据安全。你的加密逻辑、加密流程和数据存储不能得到审计和保障,数据都不一定安全何谈分享安全。

    如果你要类比 Wordpress,那么你得提供可以自托管的程序,因为 Wordpress 的数据保存在自己服务器上,我可以认定为是安全的。

    如果你要类比网盘,那么就没有可比性了,大部分人为了数据安全选择先 7z 加密压缩再上传网盘。你这个工具如果以同样的方式去用,那么就完全没有存在价值,不如直接 gpg。
    thinks
        16
    thinks  
       2018-02-28 12:52:57 +08:00 via Android
    适合飙车用。
    TinySec
        17
    TinySec  
    OP
       2018-02-28 12:54:56 +08:00
    @chinvo 我只是分享我的一个作品,不知道为什么你戾气这么重。
    chinvo
        18
    chinvo  
       2018-02-28 12:57:29 +08:00
    @TinySec #17 我只是以友好而平和的语气指出你的安全产品不足之处,不知道为什么你戾气这么重。

    安全领域,自己造轮子是最大的风险隐患,尤其还是闭门造轮子。
    TinySec
        19
    TinySec  
    OP
       2018-02-28 12:58:02 +08:00
    这个工具的初衷,是一个安全方便易用的文本工具,需要在安全和易用性之间,进行某种妥协。
    不知道有没有同学用过 notepad.cc ,这个网站已经停服了,在停服之前有很多人用。
    fox txt 其实就是 notepad.cc 的一个升级版,加了 markdown,密码,过期时间的支持。
    chinvo
        20
    chinvo  
       2018-02-28 13:00:13 +08:00
    竞品:
    https://pastebin.com
    https://cryptobin.co
    https://privatebin.info

    以及其他 pastbin 产品

    楼主加油,望能做的更好
    AlisaDestiny
        21
    AlisaDestiny  
       2018-02-28 14:33:18 +08:00
    @jun0205 老铁。你这个发布成功没啥反应,我以为卡了。连点了几次 Create Paste。再乍一看,右边多了一连串的 History Pastes.
    jun0205
        22
    jun0205  
       2018-02-28 14:36:10 +08:00 via Android
    @AlisaDestiny 最上面应该是有提示,不太明显,目前主要自己和朋友在用,有时间改下
    Wolther47
        23
    Wolther47  
       2018-02-28 15:14:45 +08:00 via iPhone
    @TinySec #9 不能依靠不公开算法来(所谓)增加系统安全性
    smg
        24
    smg  
       2018-02-28 15:23:16 +08:00
    ymcyyf
        25
    ymcyyf  
       2018-03-01 00:41:52 +08:00   ❤️ 1
    偶然上来逛逛就看到漏洞收割机大大,先膜一发。
    (以及这个论坛貌似只要有人做出什么东西,下面必然有人会回复“ XXX 早已实现了,且比楼主你做的好得多”,所以没必要在意某些人的评论……
    TinySec
        26
    TinySec  
    OP
       2018-03-01 16:47:18 +08:00
    @ymcyyf 谢谢。这个风气确实不好。
    lslqtz
        27
    lslqtz  
       2018-03-02 05:46:03 +08:00 via iPhone
    加密算法不公开,传到服务端确实不放心…
    还是建议用客户端的密码做个本地验证,但也不建议直接下发加密过的数据
    先用密码的 hash 对比正确性,然后再下发加密数据客户端解密吧
    TinySec
        28
    TinySec  
    OP
       2018-03-06 18:08:06 +08:00
    在创建时,保存这个 签名 key , 发布之后,就可以用这个 key 来证明你对这个 文本的所属权。
    这样,使用一个 key ,解决了匿名归属证明问题。

    https://foxtxt.com/v/rJ91Oyn_f
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2317 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 15:50 · PVG 23:50 · LAX 07:50 · JFK 10:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.