Re: [Hackmeeting] Mailvelope

Delete this message

Reply to this message
Autore: Fabio Pietrosanti (naif)
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] Mailvelope
Il 7/4/13 9:09 PM, Anathema ha scritto:
>
> Quindi in pratica stai dicendo che e` un tipo di crittografia js sicura?
> Del tipo che runna in una sorta di sandbox js e quindi affidabile?
> Considera che si sta parlando di webmail google, ad esempio, che certo
> se ne inventano una piu` del diavolo, e non mi sorprenderebbe se
> avessero qualche js "invasivo".

Mailvelope è pensato per essere un plugin di browser, quindi il codice
javascript eseguito all'interno del suo contesto non può essere
influenzato dal codice JS nel dom della pagina.

Di fatto le vm javascript, se ci pensi bene sono le vm più usate al
mondo, in termini di quantità e qualità (della più disparata) di codice
eseguito, e hanno un modello di sicurezza molto ben definito e auditato.
>
> Altrimenti ci sono soluzioni alternative?

FirePGP era un plugin oramai abbandonato perchè troppo complesso
(richiedendo gpg, build binari per varie platform, etc).

La soluzioni alternativa è RC-OpenPGPJS, un plugin per cifrare/decifrate
client-side con la webmail RoundRube.
https://github.com/qnrq/rc_openpgpjs
Questa però è "molto meno sicura" di Mailvelope, nella misura in cui non
c'è un "plugin" coinvolto e quindi il codice Javascript di decifratura e
viene consegnato dal codice della webmail.

Quindi chi gestisce il server può farti degli scherzetti tipo Hushmail
nel 2007:
http://mashable.com/2007/11/07/hushmail-offers-feds-a-peek-at-users-data/

>
>> La crittografia oramai è web, tutto ciò che non è web, è morto.
>>
> Oddio, affermazione un po` forte, pero` che il mondo stia shiftando sul
> web, "smaterializzandosi" dal locale, e` un dato di fatto a cui,
> purtroppo, non riusciamo/possiamo opporci, e quindi va affrontato.

Una panoramica molto estensiva del "contesto" delle tecnologie di
cifratura e standard relativi a web crypto:
https://www.youtube.com/watch?v=fkp0yo7Q0Ow