nutfile.com : MAJ (version 1.3)

[Kronick]

merci pour ce retour:jap:
pour les coins je me tâte mais vous êtes déjà 5 personnes à préférer, soit je vais mettre un effet sur les coins, sinon rulez pour le nouveau
je n'avais pas pensé à la gestion des clés publiques par utilisateur, du coup effectivement ça serait super 'paf' j'importe ma clé. Bon ça veut aussi vouloir dire que je doir stocker toutes ces clés (ceci dit c'est peanut, à mettre sur le filer dans le dossier de l'utilisateur).
Pour le wizard c'est une super idée! un assistant en trois étapes qui permet de générer les clés et ensuite un bouton supplémentaire de cadenas par ex. pour chiffrer un fichier

Ce soir je vais réfléchir rapidos :
- au fonctionnement global (étapes / process)
- implémentation

La semaine prochaine je suis en congés, j'auraisl lte mps d'avancer dessus

en vrac les prochains dev =
webdav (retardé car je sais pas trop comment l'interfacer)
Refonte du design de l'ecureuil (il est moche ce pathé noir en fait )
Sécurisation des données :
1 -SSL sur tout le site (en cours)
2 - Gestion des clés par utilisateur (à l'étude)

merci pour tous vos retours ça motive à avancer dessus

[micha30000]

Restera plus qu'à augmenter la taille de stockage à 1Go et tu devrais avoir pas mal d'utilisateurs

[poulpito]

cnul 1Go on peut pas poser un film de canard dessus
bon si c'est pas le but ok

c'est un joli projet que tu nous fais la bravo

[Kronick]

merci
pour info j'ai finalement agrandi les côtés.
Je suis en train actuellement de bosser sur la mise en oeuvre de GPG.
Le plus dur a été fait ! à savoir automatiser la création d'une paire de clés privées et publiques (donc bypasser tous les prompts pour le cipher, la date d'expiration etc...)
L'export de la paire est bon, mais je suis en train de bloquer sur un truc, comment chiffrer un document via la clé publique sans que celle çi ne soit signée (je m'en fiche puisque c'est moi qui génère les clés) j'ai lu sur la doc --encrypt-to mais ça ne semble pas marcher...
mais bon je vais bien finir par trouver

[micha30000]

Excellent. Si ça marche, t'as une feature qui est unique sur ce genre de sites

[Kronick]

plop et voila réussi
utilisation du expect que j'avais mis en place le mois dernier au taf pour que le script lise un prompt et y réponde tout seul, je l'ai adapté
en gros :

Code : Tout sélectionner

instance_1_mode=1
mode=("$instance_1_mode" )
i=1
for server in ${mode[@]}; do
   expect -c "
             # exp_internal 1 # debug
             spawn /usr/bin/gpg --homedir . -e --recipient user@nutfile test.txt
             expect {
               "*anyway*" { send "y"\r\n; interact }
               eof { exit }
             }
             exit
             "
   let "i=i+1"
done

il faut encore que je trouve comment on peut passer des argument à un script (genre encrypt_file.sh --user1@nutfile) pour que le script les réutilise j'ai encore jamais fait ça
je vais finaliser un série de script qui vont effectuer les actions suivantes aujourd'hui :

- génération d'une paire de clés privées et publiques
-export de la paire de clés
- suppression de la clé privée après export
- "envoi à php" des deux clés soir pour envoi par mail ou affichage sur écran
- encrypt de fichier

alé bon ap ^^



edit : bon et bien c'est tout simple, ce sont des variables allant de 1 à 9 :

Code : Tout sélectionner

#!/bin/bash
echo "premier arg : $1"
echo "deuxième arg : $2"

./test.sh 45 67 retourne : 
premier arg : 45
deuxième arg : 67

c'est parti

[Kronick]

et voila tous les scripts systèmes sont terminés
voici en preview les visuels sur lesquels j'ai bossé ainsi que l'intégration de la nouvelle boite gpg :



les icones grises signifieront que le document n'est pas crypté mais que la personne ne possède pas de clés.
en bleu il est possible de le crypter
en jaune il est déjà crypté ^^
demain j'attaque le dev côté BDD (requetes et intégration des nouveaux champs) ensuite je bosserais sur les controlleurs
alé bonne nuit

[micha30000]

Je viens de m'inscrire pour tester ça.
Au fait, pourquoi limiter le password à 10 caractères ?

PS: pense aussi à la déclaration CNIL pour ta base de données des users

[Kronick]

hello
pour le moment il n'y a rien à tester tout est en local
pour le mot de passe j'ai pris une valeur moyenne pour mes passes, et ce que je vois sur la plupart des sites sur lesquels je m'inscris. Mais tu n'es pas la première personne à me poser la question.
Idéalement tu partirais sur combien ? 15 ?
Pour la CNIL, je viens de récupérer leur doc, mais apparement ça ne s'applique qu'aux sociétés non ?

[micha30000]

15 ça me parait bien. J'ai pas mal de passwords qui ont une dizaine de caractères, mon plus gros à 15 et c'est déjà bien chiant à taper

Si t'as besoin de bêta testeurs pour la partie GPG, hésite pas à demander (si t'as une instance de dev ou autre).

Pour la CNIL tu es exempté si tu es dans un de ces cas: http://www.cnil.fr/en-savoir-plus/delib ... /delib/87/
http://www.cnil.fr/en-savoir-plus/delib ... delib/107/
http://www.cnil.fr/en-savoir-plus/delib ... delib/106/
Donc effectivement je pense que tu es dispensé.

[poulpito]

pareil si tu veux un coup de paluche pour tester

[gizmo78]

normalement la déclaration à la CNIL ne ce fait que pour les sociétés et si ce n'est pas commercial, juste une mention sur le site au moment de l'inscription et roulez!

[Kronick]

oki j'ai pas à déclarer la base alors
merci pour votre dispo. J'ai terminé toute ce qui a trait à la base de données, et j'ai avancé à hauteur de 50% sur les vues. (il me reste les formulaires de fin affichant les clés) Aujourd'hui j'attaque les controlleurs (tout les scripts php qui vont lancer les scripts qui interagissent avec gpg et rsync)
voici les visuels

[biour]

mis a part le \ dans "d\être sûr"

[Zedoune]

Ou "chiffer" un document

[Kronick]

corrigé ^^
le process de génération de clé et export pour php est complet
j'ai bossé un peu sur le css pour savoir comment je pourrais afficher les deux clés à l'écran, mais spa évident.
Là j'ai le cerveau dézingué, on verra tout ça un autre jour

[Kronick]

pong
ça avance


alé je file au boulot

[Kronick]

oi oi,
et voila GPG en production
vous pouvez maintenant générer vos clés. Vous recevez ensuite par mail les deux clés.
Je conserve la clé publique, la privée étant immédiatement supprimée.
Les documents sont chiffrés, (fait le test hier de déchiffrer un fichier sur une autre machin et ça marche nickel )

pour le moment, il n'est pas possible d'importer la clé publique que vous avez déjà, je n'ai pas encore réfléchi sur la facon dont je pourrais faire mais que ça soit sécurisé (par ex. tester la clé publique avant)
La génération des clés se fait en temps réel, je dois trouver une facon de passer la génération en arriète plan mais que je puisse quand même avoir une visibilité sur les process en cours par ex.

enfin il me reste toute la doc à rédiger (explications, note sur le forum, clause de confidentialité etc...)
voila merci pour ceux qui prendraient la peine de tester =)



Le cadenas est maintenant actif


En cliquant dessus, un warning


Le doc est maintenant chiffré


c'est aussi simple (mais powerfull [:kronick:6] ) que ça

Enfin j'ai mis à jour une 50 aine de fichier mine de rien, en plus des vues (CSS etc..) j'ai pas mal bossé sur les controlleurs, j'ai modifié 80% des méthodes (sur l'appel de fonctions de nettoyage entre autres)
et j'ai intégré PHPMailer pour l'envoi des pièces jointes, sans ça j'ai galéré comme un malade
http://phpmailer.worxware.com/
c'est une méthode qui permet d'envoyer des pièces jointes et de former un mail très facilement

[Kronick]

Plop, dans le lot d'updates,
je viens d'acheter un certificat SSL et de l'installer


maintenant tout le site est crypté hihi

[micha30000]

Magnifique

Je vais essayer de tester ça si j'ai 5 minutes.
Sinon pour l'import des clés GPG/PGP, tu as plusieurs solutions:
- le gars copie-colle le code de sa clé (data)
- le gars uploade sa clé (fichier)
- interroger directement les annuaires PGP (LDAP / LDAPS)

Après, pour la vérification tu peux envoyer un mail de confirmation d'importation peut-être. A voir si c'est vraiment intéressant de faire ça ou pas.

Beau travail en tous cas

[tugs]

dit donc ca devient carrément pas mal tout ça

[Kronick]

merci à vous deux
pour le moment vous ne risquez pas de pouvoir y accéder, j'ai carrément zappé de natter le 443 du pix vers le serveur
je fais ça ce soir

edit : @micha :
ça n'est pas tant sur la facon de pouvoir récupérer la clé publique en fait
c'est plutôt comment m'assurer que ça soit bien une clé publique et pas un fichier bidon contenant du code par ex.
(qui n'y penserait pas de passer du code dans un fichier maquillé en clé publique )
du coup, il faudrait dans l'ordre :
- filtrer le fichier
- le lire
- le "tester" avec GPG avant import

[Kronick]

et voila firewall ouvert

[micha30000]

A la limite, tu pourras pas chiffrer avec une fausse clé, tu auras une erreur dans ton script GPG. Tu peux te protéger des attaques par injection et autre comme pour le reste puisqu'il n'y a pas de caractères particuliers dans les clés.

Après c'est sûr c'est mieux de tester mais alors là, bon courage. J'ai pas d'idée sur le process... Je vais y réfléchir aussi

[Kronick]

si une personne importe sa propre clé publique, ça veut aussi dire que quand je vais lister les clés je verrais autre chose ?
par ex. pour le user kronick une clé qui peut s'appeler "pouet"
je vais voir si je peux renommer une clé avant import (mais je ne pense pas)
parce que sinon j'aurais pu essayer de l'importer, et si ensuite en faisant un gpg --list-keys | grep "user" je ne trouve rien, je peux alors considérer que la clé est invalide, auquel cas j'affiche un message d'erreur