Re: [Hackmeeting] Crittografia e2e del futuro: Browser oApp…

Nachricht löschen

Nachricht beantworten
Autor: A/I staff
Datum:  
To: hackmeeting
Alte Treads: Re: [Hackmeeting] Crittografia e2e del futuro: Browser o App? Was:RiseUp Is Not for Activists (
Betreff: Re: [Hackmeeting] Crittografia e2e del futuro: Browser oApp? Was:RiseUp Is Not for Activists (
On 2013-12-05 09:54, Fabio Pietrosanti (naif) wrote:
> Il 12/5/13, 8:54 AM, Joe ha scritto:
>> On 05/12/13 09:21, South Dakota wrote:
>>>
>>> Il 04/12/2013 21:25, Joe ha scritto:
>>>> Ripeto: se pensate che la soluzione per la crittografia forte
>>>> end-to-end sia nel browser, vi illudete.
>>> il punto non è pensarlo, è volerlo.
>>>
>>> Se la crittografia forte verrà implementata, (forse) verrà
>>> utilizzata anche da utenti "normali".
>>>
>>> Dico forse perchè, dopotutto, all'utente "normale", di usare
>>> crittografia non frega una beneamata mazza, a meno che non voglia
>>> comprare armi e droga da silkroad et simili
>>>
>>> ciao
>>>
>> Allora, io ti ho spiegato (in modo conciso, ma siamo sulla lista di
>> hackit, mi aspetto sappiate tutti usare google) che semplicemente e'
>> IMPOSSIBILE fornire crittografia e2e nel browser che sia anche
>> ragionevolmente sicura PUNTO.
> Questa è una opinione, potenzialmente valida, come è valida l'opinion
> che la sicurezza e2e nei browser è il futuro.
>
> CryptoCat è un esempio di crittografia e2e sicura nei browser, che
> spinge molti altri progetti in questa direzione.
>
> MailVelope sta arrivando, entro fine anno prossimo sarà maturo.
>
> WebRTC sta evolvendo per esportare su Javascript sistemi di Key
> Management (diciamo bye bye ai clienti VoIP!)
>
> L'ambiente operativo browser è più sicuro del sistema operativo, non
> esegue codice nativo, è sandboxato, ha un TM definito.
>


Ok, io parlavo di "browser senza extensions/plugins", che e' quello a
cui si riferiva l'OP.

Sul fatto che js/html5 saranno sempre piu' pervasivi ci credo, resto
convinto che non sia comunque una strada convincente per l'utenza media
e che richiedera' sempre piu' impegno da parte degli sviluppatori
(javascript, checche' se ne dica, e' un linguaggio di programmazione
scomodo e che per sua natura rende facili errori di programmazione (ad
es. nella gestione dei tipi) che per la crittografia sono esiziali.

Pero' queste sono opinioni o visioni, su cui possiamo essere in
disaccordo.

Quando la gente parla di "crittografia nel browser" pensa a framework
crittografici forniti dal server in formato JS, che tengono le tue
chiavi private in luoghi accessibili dal javascript scaricato da remoto.
E questo modello, concorderai, e' destinato a fallire miseramente.

Ciao

Joe