link lock

Les URL de protection par mot de passe utilisant AES dans le navigateur.

Link Lock prend désormais en charge les signets sécurisés et cachés via le coup de signet! Lisez la suite ici.

Link Lock est un outil pour chiffrer et décrypter les URL. Lorsqu'un utilisateur visite une URL cryptée, il sera invité à un mot de passe. Si le mot de passe est correct, Link Lock récupère l'URL d'origine, puis y redirige. Sinon, une erreur s'affiche. Les utilisateurs peuvent également ajouter des conseils à afficher près de l'invite de mot de passe.

Chaque URL cryptée est stockée entièrement dans le lien généré par l'application. En conséquence, les utilisateurs contrôlent toutes les données qu'ils créent avec le verrouillage des liens. Rien n'est jamais stocké sur un serveur, et il n'y a pas de cookies, de suivi ou d'inscription.

Link Lock a de nombreuses utilisations:

• Stocker des signets privés sur un ordinateur partagé
• Crypter des pages Web entières (via les pages URL)
• Envoyer des liens sensibles sur des canaux publics ou non sécurisés (par exemple, publier des liens vers un site Web public qui nécessite un mot de passe pour accéder)
• Implémenter des captchas simples - particulièrement efficaces contre les grattoirs Web de base qui ne respectent pas robots.txt
• Ajouter un mot de passe à des liens Dropbox ou Google Drive partagés
• Partagez des liens et des torrents à aimant protégé par mot de passe
• Échapper à la censure

Link Lock utilise AES en mode GCM pour crypter en toute sécurité les mots de passe, et PBKDF2 et SALTED SHA-256 (100 000 itérations) pour la dérivation de la clé sécurisée. Le chiffrement, le déchiffrement et la dérivation des clés sont tous effectués par l'API SubtleCrypto . Le vecteur d'initialisation est randomisé par défaut, mais le sel ne l'est pas. La randomisation du vecteur d'initialisation et du sel peut être activée ou désactivée par l'utilisateur via des «options avancées». Le vecteur de sel et d'initialisation est envoyé avec les données cryptées si elles sont générées au hasard. L'API est versée de telle sorte que les anciens liens cryptés fonctionneront toujours, même si des versions ultérieures de Link Lock sont mises à jour pour être plus sécurisées. Veuillez lire le code ( api.js en particulier) pour plus d'informations.

Lisez la discussion sur les hacker actualités ici.

Également discuté sur R / NETSEC et discuté sur R / programmation.

• Encryption de lien régulier - Mot de passe: Hackernews
• Crypt des pages entières - Mot de passe: URLPAGE5
• Implémenter un simple captcha
• Prise en charge des emoji - Mot de passe: Avocado
• Énigmes dans l'obscurité - Le mot de passe est un seul mot minuscule
• Partagez les torrents - Mot de passe: torrenting_is-legal!

Le code a été écrit pour être lu. Veuillez le lire, surtout si vous ne me faites pas confiance pour créer une application de chiffrement sécurisée. En particulier:

• Je suis un étudiant, pas un professionnel de la sécurité - il peut y avoir les meilleures pratiques que je ne connais pas. J'ai obtenu mon diplôme universitaire et je travaille maintenant pour une entreprise de cybersécurité.
• Une fois que quelqu'un a déchiffré un lien, il peut partager l'URL d'origine autant qu'il le souhaite. Partagez uniquement les liens chiffrés avec des personnes de confiance.
• Je ne suis pas à l'aise d'utiliser JavaScript, et je n'ai pas de compréhension ferme des nuances de la langue - il peut y avoir des bugs que je ne connais même pas.
• Ceci est le premier projet que j'ai jamais réalisé en utilisant le cryptage - il y a probablement une erreur subtile quelque part.
• La plupart du code de chiffrement / décryptage est basé sur des tutoriels MDN pour l'API SubtleCrypto .

• Créez un lien verrouillé ici: https://jstrieb.github.io/link-lock.
• Une fois que vous avez un lien verrouillé, créez un signet caché ici: https://jstrieb.github.io/link-lock/hidden.
• Utilisez les options avancées lors de la création d'un lien pour rendre le chiffrement plus sécurisé (au prix d'un lien plus long).
  • Par défaut, le vecteur d'initialisation est randomisé pour la sécurité, mais cela peut être désactivé, même si cela est une vulnérabilité.
  • Par défaut, le sel utilisé pour hacher le mot de passe pendant la dérivation des clés n'est pas randomisé, mais cela peut être activé.
• Pour mettre en signet un lien verrouillé, faites-le glisser de la boîte de sortie vers la barre des signets. Alternativement, visitez le lien verrouillé et mettez en signet avant d'entrer le mot de passe.
• Si vous perdez le mot de passe, il est presque impossible de récupérer le lien d'origine. La forte sécurité garantie par le cryptage peut être une bénédiction ou une malédiction si vous ne faites pas attention!
• Actuellement, la seule façon de récupérer un mot de passe perdu est d'essayer toutes les options possibles (très lentement) par force brute. Un exemple d'application sur les URL de verrouillage de liaison Brute Force dans le navigateur peut être trouvé ici: https://jstrieb.github.io/link-lock/bruteforce.
• Un forcer brute parallélisé, multiplateforme, basé sur le processeur, peut être trouvé ici: https://github.com/jstrieb/bruteforce-link-lock
• Si vous recevez une URL de verrouillage de liaison en qui vous ne faites pas confiance, décryptez-la à l'aide de cette interface qui ne redirige pas automatiquement: https://jstrieb.github.io/link-lock/decrypt.

Le verrouillage des liens peut être utilisé pour échapper à la censure. Si vous craignez que l'envoi de liens avec le nom de domaine jstrieb.github.io vous mette en danger, remplacez simplement le domaine par un autre. Par exemple, partager

 https://wikipedia.org/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

au lieu de

 https://jstrieb.github.io/link-lock/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

Tout domaine peut être utilisé à la place de wikipedia.org . De cette façon, un tiers malveillant qui clique sur le lien modifié sera pris sur une page valide, ce qui aide à soulager les soupçons. Lorsque vous partagez le mot de passe pour déverrouiller le lien, expliquez comment changer le nom de domaine avec jstrieb.github.io/link-lock , ou avec le chemin vers un clone local de verrouillage de lien. L'utilisation d'une copie locale est particulièrement recommandée pour échapper à la censure, car aucune demande à mon domaine n'est jamais faite.

Alternativement coller le lien modifié directement dans la page Decrypt. Cette page ne vérifie pas le nom de domaine du lien collé, seulement le "fragment" (la pièce après le # ). Ainsi, par exemple, le lien Wikipedia ci-dessus peut être collé directement là-dedans et décrypté sans changer le domaine.

L'utilisation d'une copie locale des pages URL est également recommandée. Des pages Web entières peuvent être partagées en toute sécurité et secrètement de cette façon.

Ce projet est activement maintenu. S'il n'y a pas de commits récents, cela signifie que tout s'est déroulé en douceur! Même si le protocole de stockage des liens est mis à jour, le verrouillage de lien est conçu pour être à 100% rétrocompatible, de sorte que vos liens verrouillés ne se casseront jamais.

Même si quelque chose m'arrivait et que je ne pouvais pas continuer à travailler sur le projet, Link Lock continuera de fonctionner tant que mon compte GitHub est ouvert et que le domaine jstrieb.github.io est en ligne.

• Traduction française: cachetonite.di20.net
• Traduction allemande: ebildungslabor.github.io/link-lock
• Traduction polonaise: volenseicreeper.github.io/link-lock

Merci à ceux qui ont proposé des commentaires sur ce programme avant sa sortie. Merci également à la piscine de la deuxième chance Hacker News.

Merci à @IamMandatorat pour avoir découvert une vulnérabilité XSS réfléchie résultant de l'autorisation des protocoles non hypertexés dans l'URL. La vulnérabilité a depuis été fixée.

Merci à Guillaume (@gverdun) d'avoir traduit le verrouillage de lien en français et d'héberger une version traduite. De même, grâce à Nele Hirsch (@ebildungslabor) pour avoir traduit et hébergé une version allemande, et à Piotr Wereszczyński (@yoursenseicreeper) pour avoir traduit et hébergé une version polonaise.

Il y a quelques choses que vous pouvez faire pour soutenir le projet:

• Étoilez le référentiel et suivez-moi sur github
• Partagez et vote sur des sites comme Twitter, Reddit et Hacker News
• Signaler tous les bugs, pépins ou erreurs que vous trouvez
• Traduire dans d'autres langues

Ces choses me motivent à continuer de partager ce que je construis, et elles fournissent une validation que mon travail est apprécié! Ils m'aident également à améliorer le projet. Merci d'avance!

Si vous insistez pour dépenser de l'argent pour montrer votre soutien, je vous encourage à faire un généreux don à l'une des organisations suivantes. En plaidant pour les libertés sur Internet, des organisations comme celles-ci m'aident à me sentir à l'aise de publier du travail publiquement sur le Web.

• Fondation de frontière électronique
• Fondation du signal
• Mozilla
• Les archives Internet