John,
Questo è solo un non senso. La parte che non è open source è la gestione dei file sul lato server. Il codice pubblicato mostra esattamente cosa viene caricato e come. Il fatto che chiunque possa visualizzare il codice sorgente e vedere cosa sta facendo è esattamente ciò che significa trasparenza. È il codice onesto con Dio che viene eseguito direttamente sul sito. Non c'è niente da nascondere in esso. È crittografato interamente lato client che è verificabile (supponendo che tu sia in grado di leggere/capire il codice). Inoltre, il codice è pubblicato su GitHub. Non sono ancora sicuro del motivo per cui stai parlando di SourceForge.
Forse invece di criticare il progetto, potresti fare le tue ricerche, fare domande o almeno non solo vomitare affermazioni infondate e sbagliate. Lo prendo sul personale perché stai scrivendo cose che sono effettivamente imprecise riguardo al progetto. Inoltre, invece di guardare tutto il codice che Sam ha scritto o i progetti a cui contribuisce pubblicamente GitHub, tu di tutte le cose cerchi di attaccare il suo personaggio da una startup defunta che il suo indirizzo email è legato a? Dev'essere stato un pessimo scherzo.
John,
Presumo che tu non abbia molta familiarità con il software open source e quale sia lo standard per questo genere di cose. Va bene, l'intera comunità si muove molto rapidamente, e soprattutto negli ultimi anni. SourceForge è un dinosauro, ha offuscato la sua reputazione mesi fa con gestori di download e installatori di barre degli strumenti scadenti, e la maggior parte dell'open source attivo ora vive su GitHub. In effetti è molto più aperto alla comunità generale su GitHub di quanto non sia mai stato o sarebbe su SourceForge.
Securesha.re è un nuovo tipo di webapp in cui la maggior parte delle funzionalità avviene direttamente sul client, in bella vista. Per dimostrare il mio impegno in tal senso, non riduco o offusco alcun codice sul sito (che è standard, semplicemente per risparmiare sulla dimensione trasmessa del sito). È necessaria una certa esperienza di codifica per verificare che la crittografia sia eseguita correttamente e una certa quantità per verificare che le richieste vengano inviate correttamente senza identificare le informazioni. Se uno può fare il primo, sicuramente può fare il secondo. La verifica delle richieste richiede letteralmente meno di pochi minuti; dopotutto, ne fanno solo due: uno per caricare un file e uno per scaricarlo.
Circa un anno fa, una piccola folla di utenti su Hacker News ha dato un'occhiata al sito dopo che l'abbiamo annunciato. Il loro verdetto? Ha funzionato bene, probabilmente dovrebbe generare password più lunghe, era un po' confuso. Erano cose semplici da risolvere, quindi ho risolto tutti quei problemi e da allora il sito ha continuato a sfornare file giorno dopo giorno.
Capisco che ritieni che il tuo feedback sia onesto, ma non è accurato.
Sentiti libero di controllare il codice sia nel tuo web inspector che su https://github.com/STRML/securesha.re-client/tree/master/polymer - l'ultima versione del sito utilizza Web Components, quindi è molto facile da seguire una volta comprese le basi.
Alla fine, se vuoi utilizzare un servizio che gestisce i tuoi dati personali, devi fidarti ciecamente di esso o leggere il codice. La stragrande maggioranza dei servizi che gestiscono i tuoi dati personali (Gmail, Dropbox, ecc.) non ha un codice sorgente pubblicamente disponibile. Questo progetto lo fa. Se non mi credi, leggi il codice. Se non riesci a leggere il codice, chiedi a qualcuno che può. Credo che Securesha.re riempia una nicchia particolarmente importante perché la sua correttezza in realtà *può* essere verificata, a differenza dei molti servizi di sicurezza closed-source là fuori.
Spero che chiarisca alcune cose.
Ciao John, ho scritto securesha.re per un hackathon di Angelhack alla fine del 2012 (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). Il codice è disponibile gratuitamente su GitHub (https://github.com/STRML/securesha.re-client) in modo che chiunque possa controllare il codice.
È piuttosto semplice - in effetti, così semplice, l'ho riscritto in alcuni dei principali framework Web come esperimento di programmazione. Il backend non è altro che un semplice archivio di file con parametri di eliminazione automatica: eliminerà i tuoi file dopo un certo numero di visualizzazioni o se raggiungono una certa età. Sebbene quel segmento non sia open source, è davvero molto semplice verificare che nessun dato identificativo o le password vengono inviate al mio server - esegui l'app con il tuo web inspector aperto se non ci credi me.
Per quanto riguarda il "sito sospetto di raccolta di denaro" - Tixelated è stato un esperimento divertente che abbiamo chiuso circa 6 mesi fa (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Ho lavorato su altri progetti nel frattempo, ma ancora niente di pubblico.
Se hai domande sull'app, sarò più che felice di risponderti. Per ora è solo un sito di prova ed è sicuro da usare, ma se riscontri dei bug, invia i problemi al repository GitHub e li risolverò rapidamente.
Grazie per aver guardato il sito. Non mi aspettavo di ricevere alcuna stampa su questo ora - questo articolo ha richiesto una menzione su Lifehacker, e ora sto ricevendo un bel po' di email per un progetto (relativamente) vecchio!
Non posso parlare per lo strumento n. 1, ma il tuo commento non ha senso per SecureSha.re. Disclaimer: facevo parte del team originale che lo ha creato ad AngelHack.
Non c'è modo di verificare l'autenticità del sito? Viene pubblicato l'intero codice sorgente. Tutto accade lato client in javascript, quindi puoi effettivamente vedere tutto ciò che fa. Tutto ciò che fa è memorizzare un file binario (già crittografato da te, nel tuo browser). Non hai davvero idea di cosa stai parlando.