Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Cifrar documentos protegidos por contraseña con la propia contraseña #21

Closed
tnfAngel opened this issue Jan 20, 2024 · 11 comments · Fixed by #86
Closed

Cifrar documentos protegidos por contraseña con la propia contraseña #21

tnfAngel opened this issue Jan 20, 2024 · 11 comments · Fixed by #86

Comments

@tnfAngel
Copy link
Member

tnfAngel commented Jan 20, 2024

Esto eliminaría la necesidad de guardar las contraseñas en texto plano dentro del documento, haría mas seguros los documentos que tienen contraseña y se necesitaría una flag de hasPassword en vez de lo que hay ahora

@Mrgaton
Copy link
Member

Mrgaton commented Jan 20, 2024

es inutil en mi opinion

@Mrgaton
Copy link
Member

Mrgaton commented Jan 20, 2024

y solo haria todo mas lento

@Mrgaton
Copy link
Member

Mrgaton commented Jan 21, 2024

Pero bueno, si se supone que es open source, y que esta echo para que la gente haga sus servidores pues bueno, añadiria una capa más de seguridad.

@Mrgaton
Copy link
Member

Mrgaton commented Mar 25, 2024

Yo no lo haría, pero si al final se hace usaría un algoritmo rápido, no hace falta mucha seguridad aquí, ya que nadie subiría algo realmente sensible aquí

@inetol
Copy link
Contributor

inetol commented Mar 25, 2024

Yo sugiero que se use la contraseña para encriptar el Buffer y el secret y guardar el hash de la misma en el documento para validarlo sin tener que desencriptar todo el bloque. Habrá mejores formas en client side con alguna llave maestra para encriptar todo lo que vaya hacia el servidor, algo parecido a lo que hace Cryptomator sin que el backend haga nada

@inetol inetol added priority:low and removed ack:assignee Awaiting a reply from the assignee (busy) priority:medium labels Mar 25, 2024
@Mrgaton
Copy link
Member

Mrgaton commented Mar 25, 2024

de echo se puede encriptar el contenido perfectamente desde el cliente y no hacer absoultamente nada en el backend seria una buena idea si

@tnfAngel
Copy link
Member Author

tnfAngel commented Mar 31, 2024

es inutil en mi opinion

no del todo, imagínate que por algún casual se filtran los documentos, por alguna vulnerabilidad o algo, estos incluyen las contraseñas, no están asociadas a ningún usuario, vale, pero siguen siendo contraseñas, y están en texto plano, igual que el contenido, eso es un riesgo de seguridad. Btw lo del client-side me parece bien, así también la comunicación con el servidor va más encriptada (aunque ya se use TLS etc)

@Mrgaton
Copy link
Member

Mrgaton commented Mar 31, 2024

entonces guarda las contraseñas como hash eso si no estaria mal

@tnfAngel
Copy link
Member Author

entonces guarda las contraseñas como hash eso si no estaría mal

pero también aprovechar y cifrar lo demás

@Mrgaton
Copy link
Member

Mrgaton commented Mar 31, 2024

sigo teniendo mis dudas sobre lo otro

@inetol
Copy link
Contributor

inetol commented Apr 1, 2024

Hace unos días estaba probando en otra rama mejores formas de estructurar los documentos. Me quede con la duda de si realmente es necesario protobuf para solo estructurar los documentos, ya que para lo que se usa se podría simplificar todo a una sola interface

@inetol inetol linked a pull request Apr 13, 2024 that will close this issue
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
Development

Successfully merging a pull request may close this issue.

3 participants