wir entwickeln eine Plattform für Communities mit großem Fokus auf Privatsphäre.
Wir haben gerade die Alpha Phase gestartet. Die App ist erreichbar unter: https://sentclose.com/
Wenn ihr Beiträge erstellt werden diese auf eurem Gerät verschlüsselt und verschlüsselt an den Server gesendet. Nur die Mitglieder eurer Community können den Beitrag dann wieder entschlüsseln. Für uns als Serverbetreiber ist das nicht möglich, da wir die nötigen Schlüssel nicht besitzen.
Unser Verschlüsselungsprotokoll ermöglicht es mit nahe zu unbegrenzt vielen Mitgliedern pro Community Inhalte verschlüsselt auszutauschen. Öffentliche Gruppen sind ebenfalls verschlüsselt, haben aber die Möglichkeit die Inhalte zu teilen, sodass andere die den Link zum teilen erhalten die Inhalte ebenfalls entschlüsseln können. Da es dennoch verschlüsselt ist, können wir auch hier die Beiträge nicht einsehen.
Wir bieten zur Zeit die Möglichkeit normale Posts oder Files als eine Cloud in eurer Gruppe verschlüsselt auszutauschen.
Auf euer Feedback freuen wir uns sehr. Wir stehen euch gern Rede und Antwort.
Nun ja…ich hab mir eure Site, den Server (Proxy - what ever), die Infrastruktur und die Source etwas näher in den letzten 24 Std. angeschaut. Ich kenne euer Produkt nicht, aber nach den Beschreibungen im Netz, scheint euer Messi ja tolle Wurst zu sein!!
Eure Hervorhebung des verschlüsselten Datenstreams, der nur von den Clients selber wieder entschlüsselt werden kann, hört sich für den E2E - Fetischisten nach Walhalla an…
Ob ihr euch bei der Entwicklung grade bei Alpha, Beta oder auch Final befindet, ist mir erstmal ziemlich egal!
Aber um seinen Analysen selber trauen zu können, sollte aber auch die Grundsubstanz dahinter stimmig sein, damit schon mit die grösste Fehlerquelle ausgeschlossen werden kann, von Anfang an…
Was ich allerdings an Substanz bei meinem Exkurs gesehen habe, hat mir zuerst die Augen, dann die Hirnrinde entzündet !!!
Denn entweder wurden die Grundlagen für euren Code (die oben beschriebenen Punkte) von einem achtjährigen, im Lauf einer Panikattacke, konfiguriert?!? Oder es hat schlichtweg keine Sau interessiert, was man dort aufstellte??
Wenn eure Infrastruktur so weiter betrieben wird, wie es aktuell der Fall ist, braucht ihr euch um die kryptografischen Algos bald keine Sorgen mehr machen…
Denn dann wird irgendwer eure Infra als Technik-Projekt des fünften Schuljahrs, bei einem Schulhof-Sommerfest vorstellen!!
Was euch oder euren Clients dann die ganzen Keys und Hashes noch bringen werden, sei mal dahingestellt…die verwaltet dann der 11-jährige auf dem Sommerfest.
Normalerweise habe ich bei solch einem technischen Super-Gau, keine Hemmungen, wirklich ALLES zu veröffentlichen und nicht nur olle Scans!
Aber dann müsste der Fünftklässler gar nichts mehr selber für sein Projekt erarbeiten
Ich denke, dass meine Aussagen klar formuliert waren, auch wenn ein wenig sarkastischer Witz dabei war - den brauchte ich aber, um nicht aktuell meinen ersten Schlaganfall des Tages hier zu bekommen!!
Hallo und vielen Dank für deine Antwort und deine große Mühe.
Wir sind aktuell ein Team von zwei Hobby Entwicklern die das Projekt in unserer Freizeit betreiben. Später soll es sowieso Open Source gehen, von daher hat es der „11 Jährige“ noch einfacher und bekommt sogar den Backend Code dazu
Der aktuelle Server ist auch nur ein Testserver für Demonstrationszwecke.
Dennoch vielen Dank für deine Mithilfe
Nur nochmal klar zustellen, du meinst mit deinem Beitrag die ganzen CORS Fehler? Die wurden bereits berichtigt. Wenn du noch weitere Schwachstellen gefunden hast kannst du uns diese bitte zukommen lassen? Wie wären dir ewig dankbar.
Viele Grüße
Das Team von Sentclose
PS: Wie hat dir sonst die Webseite und die Webapp gefallen? Hast du dort auch Anmerkungen? Wünscht du dir vielleicht andere Features, vor allem im Bereich Community Administration und Collaboration?
Site und App habe ich nur überflogen, sahen aber für ein Startup sehr brauchbar und funktional aus. Wünsche hatte ich noch nie im Leben, da ich immer wunschlos glücklich war / bin!
Ich meine es waren insgesamt sieben oder acht Fehler bzw. CVEs, welche über MITRE ATT&CK im Minimum mit medium eingestuft waren und zwei Stück mit high!
Die Analysen wurden nicht nur mit ZAP ausgeführt, es kamen noch drei andere Scanner zum Einsatz. Die jeweiligen Protokoll-Reports wurden auf meinem Parrot-Server gesammelt. Die müsste ich natürlich auch erstmal durchsehen, wenn etwas Zeit übrig ist! Dann sollte es auch kein Problem darstellen, euch neue Infos zukommen zu lassen…
