パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、ファイルアップローダ「Send」をテスト公開」記事へのコメント

  • by Anonymous Coward

    動画見た感じだとブラウザで暗号化するのかな。
    リンクもブラウザで生成してサーバ経由しないなら安心。
    でも復号キーもリンクに含まれるんだから、結局ダウンロードすればMozilla側に漏洩するってことだよね。

    • Re: (スコア:2, 参考になる)

      by Anonymous Coward

      ソース [github.com]を読んでみた。

      1. 送信側はブラウザー上で暗号鍵を生成して、その暗号鍵で暗号化したファイルをサーバーに送信する(暗号鍵は送らない)。サーバーはそのファイルをダウンロードするためのURLを返す。
      2. 送信側はサーバーから返されたURLに暗号鍵の情報をフラグメントID("#"以降の部分)として追加し、(何らかの安全な経路で)受信側に渡す。
      3. 受信側は、渡されたURLでサーバーにアクセスする。フラグメントIDはサーバーに送信されない(URLの仕様)。
      4. サーバーは、暗号化されたファイルを返す。
      5. 受信側は、フラグメントIDから読み取った暗号鍵を使ってブラウザー上でファイルを復号する。
      • モダンブラウザーが必要な理由は、暗号化・復号にWebCrypto APIを使っているから。
        あと暗号化を全部メモリ上でやっているので、(1GB制限しなくても)あまり大きすぎるファイルはメモリ不足で扱えない。

        Windowsなら「仮想メモリ」設定で「ページング ファイルなし」にしていない限り、
        大きいファイルでも仮想メモリが使われるだけなので、メモリ不足で扱えないなんてことは起こりません。

        暗号鍵とかそういう機密データがHDDやSSDにスワップするのはセキュリティ上好ましくないからといっても
        Windowsは欠陥OSなのでアプリ側からスワップを回避するのは困難(というかOSのカーネルレベルを書き換えないと無理)です
        だから、WebCrypto APIもスワップを完全

        • by Anonymous Coward

          あー、「メモリ上で暗号化している」ってのをセキュリティ上の理由と解釈されちゃったのか。単なる手抜きと言ったつもりだったんだけど。そもそもPC上にあるファイルをアップロードしている以上そこで頑張ってもあまり意味がないし、BitLockerはページファイルも暗号化するし。

          • by Anonymous Coward

            そもそもPC上にあるファイルをアップロードしている以上そこで頑張ってもあまり意味がないし

            いや、パスワードとかパスフレーズって使いまわされるものなだから、スワップアウト回避は重要でしょう。

            ファイル自体はどうでもいいファイルだったとしても、それを暗号化するのに使っているパスフレーズは株取引の決済パスワードと共通かもしれない。

            • by Anonymous Coward on 2017年08月08日 20時42分 (#3258127)

              実装みりゃわかるんだけど、このサービスのパスワードに該当する部分はランダムだから、まあ、ワンタイムパスワードってやつだ。実際、一回ダウンロードすると期限切れになるわけだし。

              親コメント
              • by Anonymous Coward

                実装みりゃわかるんだけど、このサービスのパスワードに該当する部分はランダムだから、まあ、ワンタイムパスワードってやつだ。実際、一回ダウンロードすると期限切れになるわけだし。

                なるほど。ユーザー設定のパスワードではなく、ワンタイムパスワードだったんですね。

                なら問題ないですね。

物事のやり方は一つではない -- Perlな人

処理中...