João,
Isso é simplesmente absurdo. A parte que não é de código aberto é o manuseio de arquivos no lado do servidor. O código publicado mostra exatamente o que está sendo carregado e como. O fato de qualquer pessoa poder visualizar o código-fonte e ver o que ele está fazendo é exatamente o que significa transparência. É o código honesto para Deus que está sendo executado direto no site. Não há nada a esconder nele. Ele é criptografado inteiramente do lado do cliente, o que pode ser verificado (assumindo que você seja capaz de ler / entender o código). Além disso, o código é publicado no GitHub. Ainda não sei por que você está falando sobre SourceForge.
Talvez, em vez de criticar o projeto, você pudesse fazer sua pesquisa, fazer perguntas ou, pelo menos, não apenas vomitar afirmações infundadas e erradas. Eu levo isso para o lado pessoal, porque você está escrevendo coisas que são factualmente imprecisas sobre o projeto. Além disso, em vez de olhar para todo o código que Sam escreveu ou projetos com os quais contribui publicamente no GitHub, você de todas as coisas tenta atacar seu personagem de uma startup extinta que seu endereço de e-mail é amarrado à? Deve ter sido uma piada de mau gosto.
João,
Presumo que você não esteja muito familiarizado com software de código aberto e qual é o padrão para esse tipo de coisa. Tudo bem - toda a comunidade se move muito rapidamente, especialmente nos últimos anos. SourceForge é um dinossauro, manchado sua reputação meses atrás com gerenciadores de download e instaladores de barra de ferramentas desagradáveis, e a maioria do código aberto ativo agora vive no GitHub. Na verdade, ele está muito mais aberto à comunidade geral no GitHub do que jamais foi ou seria no SourceForge.
Securesha.re é um novo tipo de webapp em que a maior parte da funcionalidade ocorre diretamente no cliente, à vista de todos. Para mostrar meu compromisso com isso, eu não minifico ou ofusco nenhum código do site (o que é padrão, simplesmente para salvar no tamanho transmitido do site). É necessária uma certa quantidade de experiência em codificação para verificar se a criptografia é feita corretamente e uma certa quantidade para verificar se as solicitações estão sendo enviadas corretamente sem informações de identificação. Se alguém pode fazer o primeiro, certamente pode fazer o último. A verificação das solicitações literalmente leva menos de alguns minutos; afinal, são apenas dois: um para fazer upload de um arquivo e outro para fazer o download.
Há cerca de um ano, uma pequena multidão de usuários do Hacker News deu uma olhada no site depois que o anunciamos. Seu veredicto? Funcionou bem, provavelmente deve gerar senhas mais longas e foi um pouco confuso. Essas foram coisas simples de consertar - por isso, consertei todos esses problemas e o site tem alegremente agitado arquivos dia após dia desde então.
Eu entendo que você sinta que seu feedback é honesto, mas não é preciso.
Sinta-se à vontade para verificar o código em seu inspetor da web e em https://github.com/STRML/securesha.re-client/tree/master/polymer - a versão mais recente do site usa componentes da Web, portanto, é muito fácil acompanhá-lo depois que você entende o básico.
No final das contas, se você quiser usar um serviço que lide com seus dados pessoais, terá que confiar cegamente nele ou ler o código. A grande maioria dos serviços que gerenciam seus dados pessoais (Gmail, Dropbox, etc.) não possui código-fonte disponível publicamente. Este projeto sim. Se você não acredita em mim, leia o código. Se você não consegue ler o código, pergunte a alguém que possa. Eu acredito que o Securesha.re preenche um nicho particularmente importante porque sua exatidão na verdade * pode * ser verificada, ao contrário de muitos serviços de segurança de código fechado que existem.
Espero que isso esclareça algumas coisas.
Olá, John, Escrevi securesha.re para uma hackatona de Angelhack no final de 2012 (http://inthecapital.streetwise.co/2012/11/20/the-winners-and-highlights-of-angelhack-dc/). O código está disponível gratuitamente no GitHub (https://github.com/STRML/securesha.re-client) para que qualquer pessoa possa auditar o código.
É muito simples - na verdade, tão simples que reescrevi em algumas das principais estruturas da web como um experimento de programação. O backend nada mais é do que um simples armazenamento de arquivos com parâmetros de exclusão automática - ele excluirá seus arquivos após um certo número de visualizações ou se eles atingirem uma certa idade. Embora esse segmento não seja de código aberto, é realmente muito simples verificar se nenhum dado de identificação ou as senhas estão sendo enviadas para o meu servidor - execute o aplicativo com o inspetor da web aberto se você não acredita mim.
Quanto ao "site de coleta de dinheiro suspeito" - o Tixelated foi um experimento divertido que encerramos há cerca de 6 meses (http://www.bizjournals.com/washington/blog/techflash/2013/05/party-crowdfunder-tixelated-shuts-down.html). Tenho trabalhado em outros projetos entretanto, mas nada público ainda.
Se você tiver alguma dúvida sobre o aplicativo, terei o maior prazer em respondê-la. Por enquanto, é apenas uma prova de conceito do site e é seguro para uso, mas se você encontrar algum bug, envie os problemas para o repositório do GitHub e eu os corrigirei rapidamente.
Obrigado por olhar o site. Eu não esperava receber nenhuma imprensa sobre isso agora - este artigo fez menção ao Lifehacker, e agora estou recebendo alguns e-mails de um projeto (relativamente) antigo!
Não posso falar pela ferramenta nº 1, mas seu comentário não faz sentido para SecureSha.re. Disclaimer: Eu estava na equipe original que o criou no AngelHack.
Não há como verificar a autenticidade do site? Todo o código-fonte é publicado. Tudo acontece do lado do cliente em javascript, então você pode realmente ver tudo o que ele faz. Tudo o que ele faz é armazenar um arquivo binário (já criptografado por você, em seu navegador). Você realmente não tem ideia do que está falando.
