link lock

ブラウザ内のAEを使用したパスワード保護URL。

Link Lockは、ブックマークノッキングを介して安全で隠されたブックマークをサポートするようになりました。詳細はこちらをご覧ください。

Link Lockは、URLを暗号化および復号化するためのツールです。ユーザーが暗号化されたURLにアクセスすると、パスワードが求められます。パスワードが正しい場合は、リンクロックが元のURLを取得し、そこでリダイレクトします。それ以外の場合、エラーが表示されます。ユーザーは、パスワードプロンプトの近くで表示するヒントを追加することもできます。

各暗号化されたURLは、アプリケーションによって生成されたリンク内に完全に保存されます。その結果、ユーザーはリンクロックで作成したすべてのデータを制御します。サーバーに保存されるものはなく、Cookie、追跡、サインアップはありません。

Link Lockには多くの用途があります：

• 共有コンピューターにプライベートブックマークを保存します
• Webページ全体を暗号化します（URLページを介して）
• パブリックまたは不安定なチャネルに敏感なリンクを送信します（たとえば、アクセスするためにパスワードを必要とするパブリックウェブサイトへのリンクを投稿する）
• シンプルなキャプチャを実装する - robots.txt尊重しない基本的なWebスクレーパーに対して特に効果的
• 共有ドロップボックスまたはGoogleドライブリンクにパスワードを追加する
• パスワードで保護されたマグネットリンクとトレントを共有します
• 検閲を回避する

Link Lockは、GCMモードでAESを使用してパスワードを安全に暗号化し、PBKDF2とSALTED SHA-256（100,000反復）を安全に暗号化して、安全なキー導入を得ます。暗号化、復号化、およびキー導出はすべて、 SubtleCrypto APIによって実行されます。初期化ベクトルはデフォルトでランダム化されますが、塩はそうではありません。初期化ベクトルと塩の両方のランダム化は、「高度なオプション」を介してユーザーが有効または無効にすることができます。塩と初期化ベクトルは、ランダムに生成された場合、暗号化されたデータとともに送信されます。 APIは、リンクロックの後のバージョンがより安全に更新されたとしても、古い暗号化されたリンクが常に機能するようにバージョンされています。詳細については、コード（特にapi.js ）をお読みください。

ここでハッカーのニュースディスカッションを読んでください。

また、R/Netsecで説明し、R/プログラミングについて説明します。

• 通常のリンク暗号化 - パスワード：hackernews
• ページ全体を暗号化 - パスワード：urlpage5
• シンプルなキャプチャを実装します
• 絵文字サポート - パスワード：アボカド
• 暗闇の中の謎 - パスワードは単一の小文字です
• 急流を共有 - パスワード：torrenting_is -legal！

コードは読み取られるように書かれていました。特に安全な暗号化アプリケーションを構築することを私に信頼していない場合は、読んでください。特に：

• 私は大学生であり、セキュリティの専門家ではありません。私が知らないベストプラクティスがあるかもしれません。私は大学を卒業しましたが、現在はサイバーセキュリティ会社で働いています。
• 誰かがリンクを復号化すると、元のURLを好きなだけ共有できます。暗号化されたリンクのみを信頼できる人々と共有します。
• 私はJavaScriptを使用することに慣れていません。言語のニュアンスをしっかりと把握していません。チェックさえしないバグがあるかもしれません。
• これは、暗号化を使用してこれまでに行った最初のプロジェクトです。どこかに微妙な間違いがある可能性があります。
• 暗号化/復号化コードのほとんどは、 SubtleCrypto APIのMDNチュートリアルに基づいています。

• ここでロックされたリンクを作成します：https：//jstrieb.github.io/link-lock。
• ロックされたリンクがあると、ここに隠されたブックマークを作成します：https：//jstrieb.github.io/link-lock/hidden。
• リンクを作成するときに高度なオプションを使用して、暗号化をより安全にします（リンクが長くなるコストで）。
  • デフォルトでは、初期化ベクトルはセキュリティのためにランダム化されますが、そうすることは脆弱性であるにもかかわらず、これは無効になる可能性があります。
  • デフォルトでは、キー派生中にパスワードをハッシュするために使用される塩はランダム化されませんが、これを有効にすることができます。
• ロックされたリンクをブックマークするには、出力ボックスからブックマークバーにドラッグします。または、パスワードを入力する前に、ロックされたリンクにアクセスしてブックマークしてください。
• パスワードを紛失した場合、元のリンクを回復することはほとんど不可能です。暗号化によって保証されている強力なセキュリティは、注意しないと祝福または呪いになる可能性があります！
• 現在、紛失したパスワードを回復する唯一の方法は、ブルートフォースによってすべての可能なオプション（非常にゆっくり）を試すことです。ブラウザのブルートフォースリンクロックURLへのアプリケーションの例は、https：//jstrieb.github.io/link-lock/bruteforceにあります。
• 並列化されたクロスプラットフォーム、CPUベースのブルートフォーサーは、https：//github.com/jstrieb/bruteforce-link-lockにあります。
• 信頼していないリンクロックURLを受信した場合、自動的にリダイレクトしないこのインターフェイスを使用して復号化します。https：//jstrieb.github.io/link-lock/decrypt。

リンクロックを使用して検閲を回避できます。 jstrieb.github.ioドメイン名にリンクを送信することが懸念される場合は、ドメインを別のドメインに置き換えるだけです。たとえば、共有

 https://wikipedia.org/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

の代わりに

 https://jstrieb.github.io/link-lock/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

任意のドメインは、 wikipedia.orgの代わりに使用できます。そうすれば、変更されたリンクをクリックする悪意のあるサードパーティが有効なページに移動し、疑いを軽減するのに役立ちます。リンクのロックを解除するためにパスワードを共有するときは、 jstrieb.github.io/link-lock link-lockのいずれか、またはリンクロックのローカルクローンへのパスでドメイン名を切り替える方法を説明します。私のドメインへのリクエストが行われないため、検閲の回避には地元のコピーを使用することをお勧めします。

または、変更されたリンクをDecryptページに直接貼り付けます。このページでは、貼り付けられたリンクのドメイン名、「フラグメント」（ #の後のパーツ）のみを確認しません。したがって、たとえば、上記のウィキペディアリンクは、そこに直接貼り付けて、ドメインを変更せずに復号化できます。

URLページのローカルコピーを使用することもお勧めします。 Webページ全体は、この方法で安全かつ密かに共有できます。

このプロジェクトは積極的に維持されています。最近のコミットがない場合、それはすべてがスムーズに実行されていることを意味します！リンクストレージプロトコルが更新されている場合でも、Link Lockは100％後方互換になるように設計されているため、ロックされたリンクは壊れません。

たとえ何かが私に起こったとしても、プロジェクトに取り組み続けることができなかったとしても、GitHubアカウントが開いていてjstrieb.github.ioドメインがオンラインである限り、Link Lockは引き続き機能します。

• フランス語翻訳：cachetonsite.di20.net
• ドイツの翻訳：ebildungslabor.github.io/link-lock
• ポーランド翻訳：yoursenseicreeper.github.io/link-lock

リリース前にこのプログラムについてフィードバックを提供してくれた人に感謝します。ハッカーニュースセカンドチャンスプールにも感謝します。

URLで非ハイパーテキストプロトコルを許可することに起因する反射されたXSS脆弱性を発見してくれた@Iammandatoryに感謝します。その後、脆弱性は修正されています。

Link Lockをフランス語に翻訳し、翻訳されたバージョンをホストしてくれたGuillaume（@gverdun）に感謝します。同様に、ドイツ語版を翻訳してホストしてくれたNele Hirsch（@ebildungslabor）、およびポーランド版を翻訳してホスティングするためのpiotrwereszczyński（@yoursensensensecreeper）に感謝します。

プロジェクトをサポートするためにできることがいくつかあります。

• リポジトリに出演し、Githubでフォローしてください
• Twitter、Reddit、Hacker Newsなどのサイトで共有して支持する
• 見つけたバグ、グリッチ、またはエラーを報告します
• 他の言語に翻訳します

これらのことは、私が構築したものを共有し続けるように動機付け、私の仕事が高く評価されていることを検証します！また、プロジェクトの改善にも役立ちます。前もって感謝します！

あなたがあなたのサポートを示すためにお金を使うことに固執しているなら、私はあなたが代わりに以下の組織のいずれかに寛大な寄付をすることをお勧めします。インターネットの自由を擁護することにより、これらのような組織は、私がウェブ上で公に仕事を公開するのに快適なリリースを感じるのに役立ちます。

• 電子フロンティア財団
• 信号基礎
• モジラ
• インターネットアーカイブ