アカウント名:
パスワード:
動画見た感じだとブラウザで暗号化するのかな。リンクもブラウザで生成してサーバ経由しないなら安心。でも復号キーもリンクに含まれるんだから、結局ダウンロードすればMozilla側に漏洩するってことだよね。
ソース [github.com]を読んでみた。
モダンブラウザーが必要な理由は、暗号化・復号にWebCrypto APIを使っているから。あと暗号化を全部メモリ上でやっているので、(1GB制限しなくても)あまり大きすぎるファイルはメモリ不足で扱えない。
Windowsなら「仮想メモリ」設定で「ページング ファイルなし」にしていない限り、大きいファイルでも仮想メモリが使われるだけなので、メモリ不足で扱えないなんてことは起こりません。
暗号鍵とかそういう機密データがHDDやSSDにスワップするのはセキュリティ上好ましくないからといってもWindowsは欠陥OSなのでアプリ側からスワップを回避するのは困難(というかOSのカーネルレベルを書き換えないと無理)ですだから、WebCrypto APIもスワップを完全
あー、「メモリ上で暗号化している」ってのをセキュリティ上の理由と解釈されちゃったのか。単なる手抜きと言ったつもりだったんだけど。そもそもPC上にあるファイルをアップロードしている以上そこで頑張ってもあまり意味がないし、BitLockerはページファイルも暗号化するし。
そもそもPC上にあるファイルをアップロードしている以上そこで頑張ってもあまり意味がないし
いや、パスワードとかパスフレーズって使いまわされるものなだから、スワップアウト回避は重要でしょう。
ファイル自体はどうでもいいファイルだったとしても、それを暗号化するのに使っているパスフレーズは株取引の決済パスワードと共通かもしれない。
実装みりゃわかるんだけど、このサービスのパスワードに該当する部分はランダムだから、まあ、ワンタイムパスワードってやつだ。実際、一回ダウンロードすると期限切れになるわけだし。
なるほど。ユーザー設定のパスワードではなく、ワンタイムパスワードだったんですね。
なら問題ないですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
暗号化 (スコア:0)
動画見た感じだとブラウザで暗号化するのかな。
リンクもブラウザで生成してサーバ経由しないなら安心。
でも復号キーもリンクに含まれるんだから、結局ダウンロードすればMozilla側に漏洩するってことだよね。
Re: (スコア:2, 参考になる)
ソース [github.com]を読んでみた。
メモリ不足でも「仮想メモリ」が使われるだけ (スコア:1)
モダンブラウザーが必要な理由は、暗号化・復号にWebCrypto APIを使っているから。
あと暗号化を全部メモリ上でやっているので、(1GB制限しなくても)あまり大きすぎるファイルはメモリ不足で扱えない。
Windowsなら「仮想メモリ」設定で「ページング ファイルなし」にしていない限り、
大きいファイルでも仮想メモリが使われるだけなので、メモリ不足で扱えないなんてことは起こりません。
暗号鍵とかそういう機密データがHDDやSSDにスワップするのはセキュリティ上好ましくないからといっても
Windowsは欠陥OSなのでアプリ側からスワップを回避するのは困難(というかOSのカーネルレベルを書き換えないと無理)です
だから、WebCrypto APIもスワップを完全
Re: (スコア:1)
あー、「メモリ上で暗号化している」ってのをセキュリティ上の理由と解釈されちゃったのか。単なる手抜きと言ったつもりだったんだけど。そもそもPC上にあるファイルをアップロードしている以上そこで頑張ってもあまり意味がないし、BitLockerはページファイルも暗号化するし。
Re: (スコア:0)
そもそもPC上にあるファイルをアップロードしている以上そこで頑張ってもあまり意味がないし
いや、パスワードとかパスフレーズって使いまわされるものなだから、スワップアウト回避は重要でしょう。
ファイル自体はどうでもいいファイルだったとしても、それを暗号化するのに使っているパスフレーズは株取引の決済パスワードと共通かもしれない。
Re:メモリ不足でも「仮想メモリ」が使われるだけ (スコア:0)
実装みりゃわかるんだけど、このサービスのパスワードに該当する部分はランダムだから、まあ、ワンタイムパスワードってやつだ。実際、一回ダウンロードすると期限切れになるわけだし。
Re: (スコア:0)
実装みりゃわかるんだけど、このサービスのパスワードに該当する部分はランダムだから、まあ、ワンタイムパスワードってやつだ。実際、一回ダウンロードすると期限切れになるわけだし。
なるほど。ユーザー設定のパスワードではなく、ワンタイムパスワードだったんですね。
なら問題ないですね。