14 replies to this topic

[Neuromancien]

ZeroBin

Because ignorance is bliss

Salut!

tout le monde ici ou presque connait Pastebin et son utilisation par les développeurs, les programmeurs, et surtout, ces derniers temps, les hackers considérés comme border-lines que sont LulzSec et Anonymous entre autres. Ainsi en donnant le lien vers le "past" sur twitter ou tout autre moyen, il devenait possible de diffuser un programme, le "patch" résolvant un bug, voire les résultats d'un "exploit" et dans le pire des cas des informations ultra-sensibles comme des numéros de cartes bleues, des codes d'accès etc...
Pour son propriétaire (Jeroen Vader), la situation devenait légalement intenable étant donné les informations plus ou moins sensible ou légales qui y circulaient. Il a ainsi déclaré vouloir nettoyer le site et pour ce faire vouloir embaucher du personnel.
C'est ici que Sebsauvage, ingénieur en informatique, célèbre blogueur et créateur de Shaarli intervient: Son idée est simple et je le laisse l'expliquer lui-même:

Pourquoi tout ça ?
Pas pour protéger le client (après tout le serveur pourrait très bien servir un javascript qui fait semblant de chiffrer les données). Non le but ici est de protéger légalement le *serveur*: Le propriétaire peut se dédouaner de la modération des documents postés puisqu'il n'en possède pas la clé et ne peut en connaître le contenu. Pour sa défense il peut dire qu'il fournit des services respectant la vie privée de ses utilisateurs (après tout, il y a déjà des services qui font du chiffrement côté client, comme Mozilla Sync).

Et il rajoute sur un autre billet de son Shaarli:

J'espère juste que ça ne va pas m'exploser à la tronche

Les détails techniques du fonctionnement de ZeroBin sont sur son Wiki et il y a même un coin discussion destiné a récolter les bugs, dysfonctionnements ou idées.

En fait, l'idée lui a bien explosée à la face mais pas dans le sens qu'il redoutait:

Cela a commencé, me semble t-il, par une conversation sur Hacker-news et quelques tweets et même d'autres idées. Et puis le premier Zérobin est installé et un second et puis finalement, il y a une liste (non exhaustive) chez télécomix.
Son "petit bricolage", comme il le nomme, a été ensuite signalé par divers site comme HowToGeek, Linuxfr, Reddit etc...
Une grosse surprise a été quand même d'être adopté par les Anonymous après quelques rajouts d'ordre cosmétiques. Le site, indisponible au moment ou j'écris, se trouve à cette adresse: http://www.peoplesli...FDqlstEzF9hR2A=
Quelques liens relatifs à l'adoption de Zérobin par Anonymous:
http://www.informati...ities/232900590
http://www.tomsguide...news-14867.html
Le plus étonnant pour la fin: Forbes lui a demandé une interview:
http://sebsauvage.net/links/?ukRn7g

Une petite revue de presse:
http://www.fredzone....m_campaign=feed
http://www.bbc.co.uk...nology-17785457
http://www.lemonde.f...464_651865.html
http://arstechnica.c...n-like-site.ars

Le lien vers son Zérobin perso: http://sebsauvage.net/paste/
Un aperçu de la bête:



Pas mal pour un "petit bricolage", non?

Ce message a été modifié par Neuromancien - 21 avril 2012 - 08:15 .

[Neuromancien]

Je viens de m’apercevoir que SebSauvage avait rajouté une option "Burn after reading" qui, comme son nom l'indique, détruit le fichier automatiquement après une simple consultation. http://sebsauvage.ne...n_after_reading

[Txon]

Merci pour cette excellente information !

Les ayants-droit vont demander le retrait, l'admin s'exécutera… mais vous voyez le bouton "Clone" ? En 2 clic on en fait une copie.
....
Moi il me semble que justement, a lutte anti-censure est bigrement importante par les temps qui courrent (Wikileaks ? Reflets/Amesys ?…).
ZeroBin est un outils partiellement anti-censure, il n'a en aucun cas été conçu spécialement pour emmerder les ayants-droit.
....
Va dire ça aux blogueur iraniens condamnés à mort, ou aux blogueurs marocains emprisonnés pour avoir critiqué le Roi. Bien fait pour eux, ils n'avaient qu'à pas violer la loi ?
Ce qui est légal n'est pas forcément moral. Et oui, je ferai mon devoir de désobéissance si je trouve quelque chose immoral.
(Tiens, au hasard, les pratiques scandaleuses de tuto4pc qui - magique ! - sont légales.)

@+

[noisette]

Size limiting: 2 Mb per paste (of compressed and encrypted data - cleartext data can be larger).

Il est trop fort.

After creating ZeroBin, I stumbled upon similar projects, but with different perspectives:

ezcrypt.it. 128 bits AES, and very similar. Closed source, but sources will be opened soon.
cryptobin.org. 256 bits AES with password. Requires to type the password. Closed source. Google tracking javascript included in page.
securepastebin.com. 56 bits DES with password. Requires to type the password. Closed source. Google tracking javascript included in page.
pastecrypt.com. 256 bits AES with password. Requires to type the password. Closed source. Nice password security estimation. Google tracking javascript included in page.

Il est sport, en plus. Et il a du bien se marrer en faisant ce petit point.
Et visiblement, les codes ouverts (ou en passe de l'être) ont l'air d'être les plus évolués.

[Tchim]

Ouaih ce mec et Texcellent, le shmilblic il le pousse des deux mains

[Thelwin Argon]

Mhhh, drôlement intéressant tout ça, j'ai tendance à adorer tout ce qui est open source et écrit en php ^^
Je vais tester de ce pas !
En tout cas la dernière fois avec Shaarli, je n'avais pas été déçu !

[Neuromancien]

J'utilise quotidiennement Shaarli, il est d'ailleurs fait pour ça.

[Neuromancien]

Anonpast est de nouveau disponble: http://anonpaste.tk/
http://www.webpronew...rnative-2012-04

[Neuromancien]

https://github.com/sebsauvage/ZeroBin


Quelqu'un peut-il m'expliquer ce qu'il veut dire par:

J'ai déjà fait du CVS, SourceSafe, ClearCase et FOSSIL, mais je suis un grand débutant en Git. Si je fais des bourdes ou s'il y a des choses à améliorer, n'hésitez pas à me le dire

http://sebsauvage.net/links/?5V0LEg

[noisette]

A mon avis, il s'excuse par avance si il n' a pas exactement respecté le protocole (j'entends pas là: les infos à donner, où les placer sur la page, les versions, etc, la page de Github est assez stéréotypée)

[Neuromancien]

Salut!

ZeroBin est intégré à un service Open source que je ne connaissais pas: https://priv.ly/
Une explication de Sebsauvage:

Pour ceux qui ne connaissent pas Priv.ly, le principe est de permettre d'échanger sur les réseaux sociaux (twitter, facebook, etc.) mais que ces derniers ne puissent pas voir le contenu. Si vous n'avez pas l'extension priv.ly, vous voyez juste un lien vers priv.ly qui vous permet de lire le message. Si vous avez l'extension installée, alors ça devient transparent: Vous n'avez même plus besoin d'aller sur le site de priv.ly: Vous voyez directement les messages protégés.
Cela empêche les réseaux sociaux de lire vos contenus et de les indexer en déportant tout sur priv.ly (qui avec ZeroBin, ne pourra plus en lire le contenu non plus).

Plus d'explications sur le site lui-même: https://priv.ly/pages/about

[Neuromancien]

Anon utilise zérobin, ça ce n'est pas une info mais:

 

 

Sauf qu'au lieu d'utiliser Pastebin comme d'habitude pour communiquer, ils ont choisi ZeroBin.  *MON* ZeroBin.

http://sebsauvage.net/links/?9-jUZw

[Th-Crown]

Génial cette info

[Neuromancien]

Sebsauvage n'a pas beaucoup de temps pour faire évoluer ses créations, mais il le fait de temps en temps: http://sebsauvage.net/links/?VSwIxA

 

• La coloration syntaxique ! (enfin), en utilisant highlight.js: détection automatique du langage, 53 langages supportés et supporte les mélanges html/css/javascript.
• Quand vous pressez "Send", l'URL résultat est automatiquement sélectionnée: Vous n'avez plus que CTRL+C à presser   :-)
• J'ai ajouté les expirations "5 minutes" et "1 semaine".
• L'option "Burn after reading" est maintenant une case à cocher, ce qui vous permet de la coupler à une expiration pour éviter qu'une donnée
sensible traîne indéfiniment sur internet.
• J'ai ajouté un bouton "Text brut" pour récupérer plus facilement le texte.
• Les librairies utilisées ont été mises à jour (jQuery, sjcl, base64.js)
• Les dates dans les discussions ont été corrigées (elles affichent maintenant bien la date locale).
• Diverses petites modifications (robots meta tags, meilleure vérification du json, etc.)

 

Il va falloir que je me décide à changer d'hébergeur, car Free ne supporte pas la version PHP qui est nécessaire.

[Thelwin Argon]

^^

Je l'avais testé à l'époque, mais je n'en ai jamais l'utilité du coup j'ai fini par le supprimer de mon serveur.

 

Mais le concept et la manière de l'implémenter sont excellents !