Follow

J’ai testé pour vous : le téléchargement de fichier de 3Go via Framadrop.
C’est non…

@aeris
dl.free.fr l'admet en FTP s'il m'en souvient bien (10 Go...)

@Phipe FTP? Non merci, en 2019 faudrait plutôt S(ecure)FTP ou FTPS à la place..

@aeris

@devnull habavi mais si tu dois vraiment partager 1 fichier de 3 Go tous les 36 du mois.....
@aeris

@Phipe Tous les jours ou une fois tous les 36 ans, ça change rien… Télécharger à travers le net via un canal en clair, c'est juste non.

@aeris

@devnull quand je fais ça, c'est un zip avec mdp mais oui ca devrait pas
mais..
@aeris

@aeris Sinon, y a des client en CLI, qui, normalement, ne bourrinent pas la ram

@cromagnon

Obligation d'entrer une adresse email: C'est NOPE pour moi.

@aeris @le_proviseur

@sebsauvage Je viens pourtant de faire le test sans remplir l'adresse mail.
Il y a deux parties, une pour faire comme wetrans et la partie lien pour simplement avoir le lien à partager.
@aeris @le_proviseur

@cromagnon

Je viens de tester: Il refuse d'envoyer le fichier si je n'entre pas d'adresse email.

Si je préfère framadrop/lufi et Firefox Send, c'est qu'avec ces services, à aucun moment les serveurs n'ont le fichier en clair. 🔒

Et ça, c'est pour moi la killer-feature. 👍

@aeris @le_proviseur

@sebsauvage @cromagnon @aeris @le_proviseur Perso chiffrer le fichier dans le navigateur je trouve ça peu pratique (navigateur et JS obligatoire à l’envoi et la réception, pour wget ou curl c’est mort). Tout chiffrer c’est marrant, c’est une bonne habitude, mais faut savoir être pragmatique pour savoir quand c’est pas utile.

Typiquement si c’est pour le diffuser publiquement (chan IRC, forum, mailing-list et j’en passe), ça sert strictement à rien de s’ennuyer à le chiffrer sur le serveur (vu que la clef de déchiffrement se balade ensuite).

Et si c’est pour diffuser à une personne bien précise, perso c’est GPG si la personne est capable de s’en servir. Ou mon propre serveur, à défaut (c’pas chiffré dessus, mais de toute façon si c’est moi qui qui suis l’envoyeur ou le destinataire, je l’aurais en clair à la fin, donc bon). Quant à ceux qui n’ont vraiment aucun autre moyen, ok, là c’est utile.

Même réflexion pour privatebin et équivalents, d’ailleurs, quand on partage publiquement un snippet, quel est l’intérêt de chiffrer sur le serveur, si n’importe qui peu accéder à la version déchiffrée après…

@breizh @cromagnon @le_proviseur @sebsauvage Le modèle de menace ici n’est pas que n’importe qui puisse déchiffrer les données. Mais que l’administrateur du serveur ne le puisse pas.

@breizh @cromagnon @le_proviseur @sebsauvage Et moins pour des problématiques de confidentialité que pour des problématiques de responsabilité du contenu d’ailleurs.

@aeris @cromagnon @le_proviseur @sebsauvage Ouais, mais l’administrateur est n’importe qui, techniquement.

Par contre ok pour la responsabilité (quoique, si le fichier n’est pas supprimé au premier accès, et que le lien de partage est celui qui contient la clef, ça apparaît dans les logs d’accès, non ? Du coup après le premier accès, l’admin peut déchiffrer le fichier. On peut supposer que Framadrop ne loggue pas ça, mais une instance quelconque ?).

@aeris @breizh @cromagnon @le_proviseur

Je confirme.
J'ai testé avec 12 navigateurs différents (y compris elinks/links) et aucun navigateur n'envoie le fragment sur le réseau.

@sebsauvage
@cromagnon @aeris @le_proviseur

-> sendFirefox c'est 2,5 gio avec un compe
-> Lufi installé sur un autre serveur que framadrop ? Moi j'ai mis 5 gio pour être tranquille

@aeris @le_proviseur

Certes Framadrop et send.firefox.com consomment de la mémoire, mais l'énorme plus de ces services par rapport aux autres, c'est qu'à aucun moment le serveur n'a le fichier en clair.
(car chiffrement côté client).

Et je trouve que question protection de la vie privée, c'est un énorme plus.

@sebsauvage
Et les instances plik ?
A utiliser/ monter soi meme ?
Code source : github.com/root-gg/plik

Perso, j ai la mienne pour plein de chose, mais y a pas de quoi upload en illimite dessus ;)

plik.eric.ovh qui tourne pour test au besoin

@aeris @le_proviseur

@aeris Lufi demande beaucoup de RAM au navigateur puisqu'il va chiffrer dedans. Tout sera chargé en RAM deux fois.

Sign in to participate in the conversation
Mastodon

PARCE QUE C’EST MON INSTANCE !