Introduction

0bin permet à tout à chacun d’héberge un pastebin tout en acceptant que n’importe quel type de contenu y soit posté. L’idée est qu’une personne ne peut (probablement...) pas être tenue de modérer le contenu du pastebin si elle n’a aucun moyen de le déchiffrer.

C’est une implémentation en Python du projet zerobin, facile à installer même si on ne connait pas ce langage.

Comment ça marche

A la création du paste:

• le navigateur génère une clé aléatoire;
• le contenu est chiffré avec une clé en utilisat AES256;
• le contenu chiffré est envoyé au serveur;
• le navigateur reçoit l’URL du paste et ajoute la clé dans le hash (#) de l’URL

A la lecture du paste:

• le navigateur fait une requête GET avec l’URL du paste;
• puisque la clé est das le hash, la clé ne fait pas partie de la requête;
• le navigateur récupère le contenu chiffré et le déchiffre en utilisant la clé;
• le contenu est affiché en clair et le code coloré.

Points clés:

• la clé n’est jamais envoyé au serveur car elle est stocké dans le hash;
• et donc la clé n’apparaitra pas dans les logs du serveur;
• toutes les opérations, y compris la coloration syntaxique, se font côté client;
• le serveur n’est rien d’autre d’un conteneur pour les données chiffrée.

Autres fonctionalités

• coloration syntaxique automatique (pas besoin de la spécifier);
• expiration du pastebin: 1 jour, 1 mois, jamais;
• autodesctruction: le paste est détruit à la première lecture;
• clone d’un paste: pas d’édition possible, mais on peut dupliquer un paste;
• upload du code: si le fichier est gros, on peut l’uploader d’un coup plutôt qu’utiliser le copier/coller;
• copier dans le presse papier tout le code en un click;
• raccourcir l’url du paste en un click;
• historique des ses propres pastes précédents;
• hash visuel du paste pour l’identifier facilement dans une liste.

Technologies utilisées

• Python
• The Bottle Python Web microframework
• SJCL (js crypto tools)
• jQuery
• Bootstrap, the twitter HTML5/CSS3 framework
• VizHash.js to create visual hashes from pastes
• Cherrypy (server only)

Problèmes connus

• 0bin use several HTML5/CSS3 features that are not widely supported. In that case we handle the degradation as gracefully as we can.
• The “copy to clipboard” feature is buggy under linux. It’s flash, so we won’t fix it. Better wait for the HTML5 clipboard API to be implemented in major browsers.
• The pasted content size limit check is not accurate. It’s just a safety net, so we thinks it’s ok.
• Some url shorteners and other services storing URLs break the encryption key. We will sanitize the URL as much as we can, but there is a limit to what we can do.

What does 0bin not implement?

• Request throttling. It would be inefficient to do it at the app level, and web servers have robust implementations for it.
• Hash collision: the ratio “probability it happens/consequence seriousness” <a href=”http://stackoverflow.com/questions/201705/how-many-random-elements-before-md5-produces-collisions“is not worth it</a
• Comments: it was initially planed. But comes with a lot of issues so we chose to focus on lower handing fruits.