John,
Dat is gewoon onzinnig. Het deel dat niet open source is, is de bestandsafhandeling aan de serverzijde. De code die wordt gepubliceerd, laat precies zien wat er wordt geüpload en hoe. Het feit dat iedereen de broncode kan bekijken en zien wat het doet, is precies wat transparantie betekent. Het is de eerlijke code die direct op de site wordt uitgevoerd. Daarin valt niets te verbergen. Het is volledig versleuteld aan de clientzijde, wat verifieerbaar is (ervan uitgaande dat u de code kunt lezen/begrijpen). Verder wordt de code gepubliceerd op GitHub. Ik weet nog steeds niet zeker waarom je het over SourceForge hebt.
Misschien kun je in plaats van het project te bashen, je onderzoek doen, vragen stellen of op zijn minst niet alleen ongefundeerde en verkeerde beweringen verkondigen. Ik vat het persoonlijk op omdat je dingen schrijft die feitelijk onjuist zijn over het project. Ook, in plaats van naar alle code te kijken die Sam heeft geschreven of projecten waaraan hij in het openbaar bijdraagt GitHub, jij probeert zijn personage aan te vallen vanuit een ter ziele gegane startup die zijn e-mailadres is gelinkt aan? Dat moet een slechte grap zijn geweest.
John,
Ik neem aan dat je gewoon niet erg bekend bent met open source software en wat de standaard is voor dit soort dingen. Dat is goed - de hele gemeenschap beweegt heel snel, en vooral de laatste jaren. SourceForge is een dinosaurus, zijn reputatie heeft maanden geleden bezoedeld met downloadmanagers en scummy toolbar-installatieprogramma's, en de meerderheid van de actieve open source leeft nu op GitHub. Het is in feite veel meer open voor de algemene gemeenschap op GitHub dan het ooit was of zou zijn op SourceForge.
Securesha.re is een nieuw soort webapp waarbij de meeste functionaliteit direct op de client plaatsvindt, in het zicht. Om mijn toewijding hieraan te tonen, verklein of verdoezel ik geen enkele code op de site (wat standaard is, gewoon om te besparen op de verzonden grootte van de site). Er is een zekere mate van codeerexpertise nodig om te controleren of de versleuteling correct is uitgevoerd, en een bepaalde hoeveelheid om te verifiëren dat verzoeken correct worden verzonden zonder identificatiegegevens. Als iemand het eerste kan, kunnen ze het laatste zeker. Het verifiëren van de verzoeken duurt letterlijk minder dan een paar minuten; er zijn er tenslotte maar twee: een om een bestand te uploaden en een om het te downloaden.
Ongeveer een jaar geleden nam een kleine groep gebruikers van Hacker News een kijkje op de site nadat we deze hadden aangekondigd. Hun oordeel? Het werkte goed, zou waarschijnlijk langere wachtwoorden moeten genereren, was een beetje verwarrend. Dat waren simpele dingen om op te lossen - dus ik heb al die problemen opgelost en sindsdien draait de site dag in dag uit met plezier bestanden.
Ik begrijp dat u vindt dat uw feedback eerlijk is, maar niet juist.
Voel je vrij om de code te bekijken, zowel in je webinspecteur als op https://github.com/STRML/securesha.re-client/tree/master/polymer - de nieuwste versie van de site maakt gebruik van webcomponenten, dus het is heel gemakkelijk te volgen als u de basis begrijpt.
Als u uiteindelijk een dienst wilt gebruiken die uw persoonlijke gegevens verwerkt, moet u deze ofwel blindelings vertrouwen, ofwel de code lezen. De overgrote meerderheid van de diensten die uw persoonlijke gegevens verwerken (Gmail, Dropbox, enz.) hebben geen openbaar beschikbare broncode. Dit project doet dat wel. Als je me niet gelooft, lees dan de code. Als u de code niet kunt lezen, vraag het dan aan iemand die dat wel kan. Ik geloof dat Securesha.re een bijzonder belangrijke niche vervult omdat de juistheid ervan *kan* worden geverifieerd, in tegenstelling tot de vele closed-source beveiligingsdiensten die er zijn.
Ik hoop dat dat een en ander opheldert.
Hallo John, ik schreef securesha.re voor een Angelhack hackathon eind 2012 (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). De code is gratis beschikbaar op GitHub (https://github.com/STRML/securesha.re-client) zodat iedereen de code kan controleren.
Het is vrij eenvoudig - in feite zo eenvoudig dat ik het in een paar belangrijke webframeworks heb herschreven als een programmeerexperiment. De backend is niets meer dan eenvoudige bestandsopslag met automatische verwijderparameters - het verwijdert uw bestanden na een bepaald aantal weergaven of als ze een bepaalde leeftijd hebben bereikt. Hoewel dat segment geen open source is, is het inderdaad heel eenvoudig om te verifiëren dat er geen identificerende gegevens of wachtwoorden worden naar mijn server gestuurd - voer de app uit met je webinspecteur open als je het niet gelooft mij.
Wat betreft de "verdachte geldinzamelingssite" - Tixelated was een leuk experiment dat we ongeveer 6 maanden geleden hebben stopgezet (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Ik heb in de tussentijd aan andere projecten gewerkt, maar nog niets openbaar.
Als je vragen hebt over de app, beantwoord ik ze graag. Voor nu is het slechts een proof-of-concept-site en is het veilig om te gebruiken, maar als je bugs tegenkomt, dien dan problemen in bij de GitHub-repository en ik zal ze snel oplossen.
Bedankt voor het kijken naar de site. Ik had niet verwacht dat ik hier nu pers over zou krijgen - dit artikel leidde tot een vermelding op Lifehacker, en nu krijg ik nogal wat e-mails voor een (relatief) oud project!
Ik kan niet spreken voor tool #1, maar je opmerking is onzin voor SecureSha.re. Disclaimer: ik zat in het oorspronkelijke team dat het bij AngelHack heeft gemaakt.
Geen manier om de authenticiteit van de site te verifiëren? De volledige broncode wordt gepubliceerd. Alles gebeurt aan de clientzijde in javascript, dus je kunt echt alles zien wat het doet. Het enige dat het doet, is een binair bestand opslaan (reeds door u versleuteld in uw browser). Je hebt echt geen idee waar je het over hebt.
