? Editing: Post:21.body Save Delete Cancel
Initial sync in progress...

Newest topics

Follow in NewsfeedFollowing
+ Start new topic
Loading...
stickied

Title

Body
^1 ^2 added ━ started by user_name
More topics

 

Follow in NewsfeedFollowing

Если вы думали, что владелец зайта не может редактировать ваши пользовательские данные, больше так не думайте

@nofish открыл нам глаза на работу движка:

nofish: You can edit the data.json file in the data/users/ directory (eg. remove the comment), then open sidebar, at the bottom enter the user's content.json file, then sign/publish it using the site's private key

swastika: @nofish Wait, the site owner can edit an user's data.json without having the private key of that user?

nofish: Yes, the site owner can delete and edit any content on the site.

Проверка модификации контента от Balancer73...

^3 ^4 geekless posted on Oct 08, 2018
Please sign innew comment
Sign in as...
Submit comment
You are running out of your allowed space, please contact the site's admin at unknown to raise your limit.
user_nameadded ^1 ^2
Reply
Body
geeklesson Oct 09, 2018 ^2 ^3
Reply

balancer73: Мда. Действительно. Получается, что мастер-ключ сайта может подписывать данные юзеров. Для многих будет неприятно :-/ С одной стороны, это решает проблему спама, чистки флуда/мусора, некорректных юзеров в блогах и частных форумах. С другой — ограничивает чужую свободу. Хотя никто не мешает недовольным делать свои клоны ресурсов и уже самим отвечать за контент. Но это реально меняет многое :)

Думаю вот что:

  • Каждую единицу контента нужно подписывать отдельно. Подписывать в том же формате, как подписывается content.json: «этим подтверждаю, что файл такой то, расположенный по такому-то пути на таком-то сайте, с таймстампом таким-то содержит следующее». Это даёт возможность модерировать контент админу и при этом подтверждать целостность отдельных постов, комментов, лайков независимо от остального.

Получится, что владелец сайта сможет удалить данные, но не сможет выдать свои слова/действия за слова/действия другого человека. Т.е. будет так, как мы думали, что было.

Такой вариант вполне хорош для своих задач. По возможностям получится наподобие клиарнетовского форума, в котором проверка цифровых подписей участников прозрачно встроена в веб-морду.

  • Вариант для данных которые человек считает особо ценными. Нужно разрабатывать систему шардирования, где каждый хранит свою часть данных на собственном сайте, а объединять интерфейсно их будет морда (по типу гитцентра), на которой код подписан доверенным лицом (известным разработчиком). Это и раньше я считал важной задачей, а сейчас - особенно.
balancer73on Oct 09, 2018 ^2 ^3
Reply

dude: разве каждый пост не подписан автором, для контроля подлинности?

Как выше написано, подписывается весь контент автора, не отдельный пост. Но сути вопроса это не меняет. Судя по всему, контент может быть подписан не только автором, но и владельцем сайта. Так что, да, криптанам в этом мире только один выход, делать собственные клоны блогов и форумов :)

geeklesson Oct 09, 2018 ^2 ^3
Reply

dude: разве каждый пост не подписан автором, для контроля подлинности?

Подписан не пост, а файл данных целиком. Там все посты.

dudeon Oct 09, 2018 ^1 ^2
Reply

ну вот, а так хорошо все начиналось
одного я не понял - разве каждый пост не подписан автором, для контроля подлинности? т.е. если автор сайта не хочет видеть кого-то и модерировать контент методом удаления - это еще куда ни шло, но если можно поменять само содержимое... это эпик фэйл, криптаны.

balancer73on Oct 09, 2018 ^3 ^4
Reply

Мда. Действительно. Получается, что мастер-ключ сайта может подписывать данные юзеров. Для многих будет неприятно :-/

С одной стороны, это решает проблему спама, чистки флуда/мусора, некорректных юзеров в блогах и частных форумах. С другой — ограничивает чужую свободу. Хотя никто не мешает недовольным делать свои клоны ресурсов и уже самим отвечать за контент. Но это реально меняет многое :)

This page is a snapshot of ZeroNet. Start your own ZeroNet for complete experience. Learn More