link lock

URL perlindungan kata sandi menggunakan AES di browser.

Link Lock sekarang mendukung bookmark yang aman dan tersembunyi melalui Bookmark Knocking! Baca lebih lanjut di sini.

Link Lock adalah alat untuk mengenkripsi dan mendekripsi URL. Ketika pengguna mengunjungi URL terenkripsi, mereka akan diminta untuk kata sandi. Jika kata sandi benar, kunci tautan mengambil URL asli dan kemudian mengarahkan kembali di sana. Jika tidak, kesalahan ditampilkan. Pengguna juga dapat menambahkan petunjuk untuk ditampilkan di dekat prompt kata sandi.

Setiap URL terenkripsi disimpan sepenuhnya di dalam tautan yang dihasilkan oleh aplikasi. Akibatnya, pengguna mengontrol semua data yang mereka buat dengan Link Lock. Tidak ada yang pernah disimpan di server, dan tidak ada cookie, pelacakan, atau pendaftaran.

Kunci tautan memiliki banyak kegunaan:

• Simpan Bookmark Pribadi di Komputer Bersama
• Mengenkripsi seluruh halaman web (melalui halaman URL)
• Kirim tautan sensitif melalui saluran publik atau tidak aman (misalnya, memposting tautan ke situs web publik yang memerlukan kata sandi untuk mengakses)
• Menerapkan captcha sederhana - sangat efektif terhadap pencakar web dasar yang tidak menghormati robots.txt
• Tambahkan kata sandi ke tautan dropbox atau google drive bersama
• Bagikan tautan magnet dan torrent yang dilindungi kata sandi
• Menghindari sensor

Link Lock menggunakan AES dalam mode GCM untuk mengenkripsi kata sandi dengan aman, dan PBKDF2 dan SHA-256 asin (100.000 iterasi) untuk derivasi kunci yang aman. Enkripsi, dekripsi, dan derivasi kunci semuanya dilakukan oleh SubtleCrypto API. Vektor inisialisasi diacak secara default, tetapi garamnya tidak. Pengacakan vektor inisialisasi dan garam dapat diaktifkan atau dinonaktifkan oleh pengguna melalui "Opsi Lanjutan." Vektor garam dan inisialisasi dikirim dengan data terenkripsi jika dihasilkan secara acak. API disversi sedemikian rupa sehingga tautan terenkripsi lama akan selalu berfungsi, bahkan jika versi kunci tautan yang lebih baru diperbarui agar lebih aman. Harap baca kode ( api.js khususnya) untuk informasi lebih lanjut.

Baca diskusi berita Hacker di sini.

Juga dibahas pada R/NETSEC dan dibahas tentang R/pemrograman.

• Enkripsi Tautan Reguler - Kata Sandi: Hackernews
• Enkripsi Seluruh Halaman - Kata Sandi: Urlpage5
• Menerapkan captcha sederhana
• Dukungan emoji - Kata sandi: Alpukat
• Teka -teki dalam gelap - kata sandi adalah satu, kata kecil
• Bagikan Torrents - Kata sandi: torrenting_is -legal!

Kode itu ditulis untuk dibaca. Harap baca, terutama jika Anda tidak mempercayai saya untuk membangun aplikasi enkripsi yang aman. Secara khusus:

• Saya seorang mahasiswa, bukan seorang profesional keamanan - mungkin ada praktik terbaik yang tidak saya sadari. Saya telah lulus kuliah, dan sekarang bekerja untuk perusahaan cybersecurity.
• Setelah seseorang mendekripsi tautan, mereka dapat berbagi URL asli sebanyak yang mereka inginkan. Hanya berbagi tautan terenkripsi dengan orang -orang tepercaya.
• Saya tidak nyaman menggunakan JavaScript, dan saya tidak memiliki pemahaman yang kuat tentang nuansa bahasa - mungkin ada bug yang bahkan tidak saya ketahui untuk memeriksanya.
• Ini adalah proyek pertama yang pernah saya lakukan dengan menggunakan enkripsi - kemungkinan ada kesalahan halus di suatu tempat.
• Sebagian besar kode enkripsi/dekripsi didasarkan pada tutorial MDN untuk SubtleCrypto API.

• Buat tautan yang terkunci di sini: https://jstrieb.github.io/link-lock.
• Setelah Anda memiliki tautan yang terkunci, buat bookmark tersembunyi di sini: https://jstrieb.github.io/link-lock/hidden.
• Gunakan opsi lanjutan saat membuat tautan untuk membuat enkripsi lebih aman (dengan biaya tautan yang lebih panjang).
  • Secara default, vektor inisialisasi diacak untuk keamanan, tetapi ini dapat dinonaktifkan, meskipun melakukannya adalah kerentanan.
  • Secara default, garam yang digunakan untuk hash kata sandi selama derivasi kunci tidak diacak, tetapi ini dapat diaktifkan.
• Untuk menandai tautan yang terkunci, seret dari kotak output ke batang bookmarks. Atau, kunjungi tautan yang terkunci dan bookmark sebelum memasukkan kata sandi.
• Jika Anda kehilangan kata sandi, hampir tidak mungkin untuk memulihkan tautan asli. Keamanan yang kuat yang dijamin oleh enkripsi dapat menjadi berkah atau kutukan jika Anda tidak hati -hati!
• Saat ini, satu -satunya cara untuk memulihkan kata sandi yang hilang adalah dengan mencoba semua opsi yang mungkin (sangat lambat) oleh Brute Force. Contoh aplikasi untuk URL kunci tautan brute force di browser dapat ditemukan di sini: https://jstrieb.github.io/link-lock/bruteforce.
• Forcer brute berbasis CPU yang disejajarkan, crossform, berbasis CPU dapat ditemukan di sini: https://github.com/jstrieb/bruteforce-link-lock
• Jika Anda menerima URL kunci tautan yang tidak Anda percayai, dekripsi menggunakan antarmuka ini yang tidak secara otomatis mengarahkan kembali: https://jstrieb.github.io/link-lock/decrypt.

Kunci tautan dapat digunakan untuk menghindari sensor. Jika Anda khawatir bahwa mengirim tautan dengan nama domain jstrieb.github.io akan membuat Anda berisiko, cukup ganti domain dengan yang lain. Misalnya, bagikan

 https://wikipedia.org/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

alih-alih

 https://jstrieb.github.io/link-lock/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

Domain apa pun dapat digunakan sebagai pengganti wikipedia.org . Dengan begitu, pihak ketiga jahat yang mengklik tautan yang diubah akan dibawa ke halaman yang valid, yang membantu mengurangi kecurigaan. Saat berbagi kata sandi untuk membuka kunci tautan, jelaskan cara mengganti nama domain dengan jstrieb.github.io/link-lock , atau dengan jalur ke klon lokal kunci tautan. Menggunakan salinan lokal sangat disarankan untuk menghindari sensor, karena tidak ada permintaan ke domain saya yang pernah dibuat.

Sebagai alternatif, tempel tautan yang diubah langsung ke halaman Decrypt. Halaman ini tidak memeriksa nama domain tautan yang ditempel, hanya "fragmen" (bagian setelah # ). Jadi, misalnya, tautan Wikipedia di atas dapat ditempelkan langsung di sana dan didekripsi tanpa mengubah domain.

Menggunakan salinan lokal dari halaman URL juga direkomendasikan. Seluruh halaman web dapat dibagikan dengan aman dan diam -diam dengan cara ini.

Proyek ini dipertahankan secara aktif. Jika tidak ada komit baru, itu berarti bahwa semuanya telah berjalan dengan lancar! Bahkan jika protokol penyimpanan tautan diperbarui, Link Lock dirancang agar 100% kompatibel dengan mundur, sehingga tautan terkunci Anda tidak akan pernah rusak.

Bahkan jika sesuatu terjadi pada saya, dan saya tidak dapat terus mengerjakan proyek, Link Lock akan terus bekerja selama akun GitHub saya terbuka dan domain jstrieb.github.io sedang online.

• Terjemahan Prancis: cachetonsite.di20.net
• Terjemahan Jerman: ebildungslabor.github.io/link-lock
• Terjemahan Polandia: yoursenseicreeper.github.io/link-lock

Terima kasih kepada mereka yang menawarkan umpan balik pada program ini sebelum dirilis. Terima kasih juga untuk kumpulan peluang kedua Hacker News.

Berkat @iammandatory karena telah menemukan kerentanan XSS yang tercermin yang dihasilkan dari memungkinkan protokol non-hypertext dalam URL. Kerentanan sejak itu telah diperbaiki.

Terima kasih kepada Guillaume (@gverdun) untuk menerjemahkan tautan kunci ke dalam bahasa Prancis, dan menjadi tuan rumah versi yang diterjemahkan. Demikian juga, terima kasih kepada Nele Hirsch (@ebildungslabor) untuk menerjemahkan dan menjadi tuan rumah versi Jerman, dan kepada Piotr Wereszczyński (@yoursenseicreeper) untuk menerjemahkan dan menjadi tuan rumah versi Polandia.

Ada beberapa hal yang dapat Anda lakukan untuk mendukung proyek:

• Bintang repositori dan ikuti saya di github
• Bagikan dan upvote di situs -situs seperti Twitter, Reddit, dan Hacker News
• Laporkan setiap bug, gangguan, atau kesalahan yang Anda temukan
• Terjemahkan ke dalam bahasa lain

Hal -hal ini memotivasi saya untuk terus berbagi apa yang saya bangun, dan mereka memberikan validasi bahwa pekerjaan saya dihargai! Mereka juga membantu saya meningkatkan proyek. Terima kasih sebelumnya!

Jika Anda bersikeras menghabiskan uang untuk menunjukkan dukungan Anda, saya mendorong Anda untuk memberikan sumbangan yang murah hati ke salah satu organisasi berikut. Dengan mengadvokasi kebebasan internet, organisasi seperti ini membantu saya merasa nyaman merilis pekerjaan secara publik di web.

• Electronic Frontier Foundation
• Fondasi sinyal
• Mozilla
• Arsip Internet