link lock

URLs de proteção de senha usando AES no navegador.

O Link Lock agora suporta marcadores seguros e ocultos via batidas marcantes! Leia mais aqui.

O bloqueio do link é uma ferramenta para criptografar e descriptografar URLs. Quando um usuário visita um URL criptografado, ele será solicitado a uma senha. Se a senha estiver correta, o Link Lock recupera o URL original e depois redireciona para lá. Caso contrário, um erro é exibido. Os usuários também podem adicionar dicas para exibir perto do prompt de senha.

Cada URL criptografado é armazenado inteiramente dentro do link gerado pelo aplicativo. Como resultado, os usuários controlam todos os dados que criam com o bloqueio do link. Nada é armazenado em um servidor e não há cookies, rastreamento ou inscrições.

Link Lock tem muitos usos:

• Guarde marcadores particulares em um computador compartilhado
• Criptografar páginas da web inteiras (através de páginas de URL)
• Envie links confidenciais sobre canais públicos ou inseguros (por exemplo, publicando links para um site público que exige uma senha para acessar)
• Implementar captchas simples - particularmente eficazes contra raspadores básicos da Web que não respeitam robots.txt
• Adicione uma senha ao Dropbox compartilhado ou links do Google Drive
• Compartilhe links de ímãs e torrents protegidos por senha
• Evitar a censura

O Link Lock usa AES no modo GCM para criptografar seguras e PBKDF2 e Salted SHA-256 (100.000 iterações) para derivação de chave segura. A criptografia, a descriptografia e a derivação das chaves são realizadas pela API SubtleCrypto . O vetor de inicialização é randomizado por padrão, mas o sal não é. A randomização do vetor de inicialização e do sal pode ser ativada ou desativada pelo usuário por meio de "opções avançadas". O vetor de sal e inicialização é enviado com os dados criptografados se forem gerados aleatoriamente. A API está em versão de modo que os links criptografados antigos sempre funcionarão, mesmo que as versões posteriores do Link Lock sejam atualizadas para serem mais seguras. Leia o código ( api.js em particular) para obter mais informações.

Leia a discussão da notícia de hacker aqui.

Também discutido no R/Netsec e discutido sobre R/Programação.

• Criptografia de link regular - Senha: Hackernews
• Criptografar páginas inteiras - senha: urlpage5
• Implementar um captcha simples
• Suporte emoji - senha: abacate
• Enigmas no escuro - a senha é uma palavra única e minúscula
• Compartilhar torrents - Senha: torrenting_is -legal!

O código foi escrito para ser lido. Leia -o, especialmente se você não confia em mim para criar um aplicativo de criptografia seguro. Em particular:

• Sou um estudante universitário, não um profissional de segurança - pode haver práticas recomendadas que eu não conheço. Eu me formei na faculdade e agora trabalho para uma empresa de segurança cibernética.
• Depois que alguém descriptografa um link, ele pode compartilhar o URL original o quanto quiser. Compartilhe apenas vínculos criptografados com pessoas de confiança.
• Não me sinto confortável em usar JavaScript e não tenho uma compreensão firme das nuances do idioma - pode haver bugs que eu nem sei verificar.
• Este é o primeiro projeto que já fiz usando a criptografia - provavelmente há um erro sutil em algum lugar.
• A maior parte do código de criptografia/descriptografia é baseada nos tutoriais da MDN para a API SubtleCrypto .

• Crie um link bloqueado aqui: https://jstrieb.github.io/link-lock.
• Depois de ter um link bloqueado, crie um marcador oculto aqui: https://jstrieb.github.io/link-lock/hidden.
• Use as opções avançadas ao criar um link para tornar a criptografia mais segura (ao custo de um link mais longo).
  • Por padrão, o vetor de inicialização é randomizado para segurança, mas isso pode ser desativado, mesmo que isso seja uma vulnerabilidade.
  • Por padrão, o sal usado para hash a senha durante a derivação das chaves não é randomizado, mas isso pode ser ativado.
• Para marcar um link marcado, arraste -o da caixa de saída para a barra de favoritos. Como alternativa, visite o link bloqueado e marque -o como favorito antes de inserir a senha.
• Se você perder a senha, é quase impossível recuperar o link original. A forte segurança garantida pela criptografia pode ser uma bênção ou uma maldição se você não tomar cuidado!
• Atualmente, a única maneira de recuperar uma senha perdida é tentando todas as opções possíveis (muito lentamente) pela força bruta. Um exemplo de aplicativo para URLs de bloqueio de link de força bruta no navegador pode ser encontrado aqui: https://jstrieb.github.io/link-lock/bruteforce.
• Uma forcer paralela e sediada em plataforma cruzada e com base na CPU pode ser encontrada aqui: https://github.com/jstrieb/bruteforce-link-lock
• Se você receber um URL de bloqueio de link em que não confia, descriptografando-o usando esta interface que não redireciona automaticamente: https://jstrieb.github.io/link-lock/decrypt.

O bloqueio do link pode ser usado para evitar a censura. Se você estiver preocupado com o fato de o envio de links com o nome de domínio jstrieb.github.io o colocará em risco, basta substituir o domínio por outro. Por exemplo, compartilhe

 https://wikipedia.org/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

em vez de

 https://jstrieb.github.io/link-lock/#eyJ2IjoiMC4wLjEiLCJlIjoiYUgrNDhISkpBWWhkeFFMc0l0VlIzeFlma21mYlZCOFJ5Zz09In0=

Qualquer domínio pode ser usado no lugar do wikipedia.org . Dessa forma, um terceiro malicioso que clica no link alterado será levado para uma página válida, o que ajuda a aliviar a suspeita. Ao compartilhar a senha para desbloquear o link, explique como alternar o nome de domínio com jstrieb.github.io/link-lock ou com o caminho para um clone local de bloqueio de link. O uso de uma cópia local é particularmente recomendado para evitar a censura, pois nenhuma solicitação ao meu domínio é feita.

Alternativamente, cole o link alterado diretamente na página descriptografada. Esta página não verifica o nome de domínio do link colado, apenas o "fragmento" (a peça após o # ). Assim, por exemplo, o link da Wikipedia acima pode ser colado diretamente lá e descriptografado sem alterar o domínio.

Usando uma cópia local das páginas de URL também é recomendada. Páginas inteiras da Web podem ser compartilhadas com segurança e secretamente dessa maneira.

Este projeto é mantido ativamente. Se não houver comprometimentos recentes, significa que tudo está funcionando bem! Mesmo que o protocolo de armazenamento de link seja atualizado, o bloqueio do link foi projetado para ser 100% compatível com o verso, para que seus links bloqueados nunca quebrem.

Mesmo que algo aconteça comigo, e eu não poderia continuar trabalhando no projeto, o Link Lock continuará funcionando desde que minha conta do Github esteja aberta e o domínio JStrieb.github.io esteja online.

• Tradução francesa: Cachetonsite.di20.net
• Tradução alemã: ebildungslabor.github.io/link-lock
• Tradução polonesa: itenseSeicreeper.github.io/link-lock

Obrigado àqueles que ofereceram feedback sobre este programa antes de seu lançamento. Agradecemos também ao pool de segunda chance do Hacker News.

Agradecemos à @Iammandatory por descobrir uma vulnerabilidade XSS refletida resultante de permitir protocolos não hipertextos no URL. A vulnerabilidade já foi corrigida.

Obrigado a Guillaume (@Gverdun) por traduzir o Link Lock para o francês e hospedar uma versão traduzida. Da mesma forma, graças a Nele Hirsch (@ebildungslabor) por traduzir e hospedar uma versão alemã, e a Piotr Wereszczyński (@yourSenseicreeper) por traduzir e hospedar uma versão polonesa.

Existem algumas coisas que você pode fazer para apoiar o projeto:

• Estrela o repositório e me siga no github
• Compartilhe e vote em sites como Twitter, Reddit e Hacker News
• Relate quaisquer bugs, falhas ou erros que você encontra
• Traduzir para outros idiomas

Essas coisas me motivam a continuar compartilhando o que eu construo e fornecem validação de que meu trabalho é apreciado! Eles também me ajudam a melhorar o projeto. Desde já, obrigado!

Se você insistir em gastar dinheiro para mostrar seu apoio, encorajo -o a fazer uma doação generosa a uma das seguintes organizações. Ao defender as liberdades da Internet, organizações como essas me ajudam a me sentir confortável lançando trabalho publicamente na web.

• Fundação Eletrônica Frontier
• Fundação de sinal
• Mozilla
• O arquivo da Internet