-
Notifications
You must be signed in to change notification settings - Fork 1
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Cifrar documentos protegidos por contraseña con la propia contraseña #21
Comments
es inutil en mi opinion |
y solo haria todo mas lento |
Pero bueno, si se supone que es open source, y que esta echo para que la gente haga sus servidores pues bueno, añadiria una capa más de seguridad. |
Yo no lo haría, pero si al final se hace usaría un algoritmo rápido, no hace falta mucha seguridad aquí, ya que nadie subiría algo realmente sensible aquí |
Yo sugiero que se use la contraseña para encriptar el Buffer y el secret y guardar el hash de la misma en el documento para validarlo sin tener que desencriptar todo el bloque. Habrá mejores formas en client side con alguna llave maestra para encriptar todo lo que vaya hacia el servidor, algo parecido a lo que hace Cryptomator sin que el backend haga nada |
de echo se puede encriptar el contenido perfectamente desde el cliente y no hacer absoultamente nada en el backend seria una buena idea si |
no del todo, imagínate que por algún casual se filtran los documentos, por alguna vulnerabilidad o algo, estos incluyen las contraseñas, no están asociadas a ningún usuario, vale, pero siguen siendo contraseñas, y están en texto plano, igual que el contenido, eso es un riesgo de seguridad. Btw lo del client-side me parece bien, así también la comunicación con el servidor va más encriptada (aunque ya se use TLS etc) |
entonces guarda las contraseñas como hash eso si no estaria mal |
pero también aprovechar y cifrar lo demás |
sigo teniendo mis dudas sobre lo otro |
Hace unos días estaba probando en otra rama mejores formas de estructurar los documentos. Me quede con la duda de si realmente es necesario protobuf para solo estructurar los documentos, ya que para lo que se usa se podría simplificar todo a una sola interface |
Esto eliminaría la necesidad de guardar las contraseñas en texto plano dentro del documento, haría mas seguros los documentos que tienen contraseña y se necesitaría una flag de hasPassword en vez de lo que hay ahora
The text was updated successfully, but these errors were encountered: