Heeft iemand een analyse van het systeem uitgevoerd en een whitepaper geschreven?
Ja, hier is het openbare Pentest-rapport van Cure53 voor Cryptocat 2 (pdf), en dit is de conclusie:
Conclusie
Cryptocat 2 heeft in zeer korte tijd een groot volwassenheidsniveau bereikt. Het is lovenswaardig dat het ontwikkelingsteam heeft bewezen over grote expertise te beschikken in het creëren van veilige code, ondanks de complexiteit van de taak. Hoewel het communicatieproces van cruciaal belang is in het dynamisch bijgewerkte raamwerk van audits (zowel tijdens de opdracht als na voltooiing), werd het in dit geval uitzonderlijk goed afgehandeld, waardoor de besproken problemen vrijwel onmiddellijk werden opgelost. Laten we dit illustreren door te zeggen dat bij verschillende gelegenheden feedback met een succesvolle fixmelding ons in staat is gesteld om ons gelijktijdig te bereiken voor de voorbereiding van de e-mail!
Desalniettemin onderstrepen de problemen die we hebben opgemerkt het belang van een goed geplande en grondig geïmplementeerde beveiligingsarchitectuur binnen browserextensies. Er moet aan worden herinnerd dat een kwetsbaarheid die een nogal onschadelijke scriptuitvoering in de context van webtoepassingen veroorzaakt, een nadelige escalatie van privileges of uitvoering van externe code kan blijken te zijn wanneer deze wordt ontdekt en misbruikt in een browserextensie. Cure53 wil Radio Free Asia, het hele Cryptocat-ontwikkelingsteam en Nadim Kobeissi met name bedanken voor dit uitdagende en allround professioneel afgehandelde project.
EDIT: Ik zou ook graag willen verwijzen u naar deze eenvoudige maar effectieve uitleg van @ Adnan over verschillen tussen wat Cryptocat vroeger was, en wat de meest essentiële verandering is in zijn vertrouwens- / beveiligingsmodel sinds de overstap naar Cryptocat 2:
Door de code naar een browserplug-in te verplaatsen, hoeft u de bron alleen de eerste keer dat u code downloadt, te vertrouwen. Communicatie nog steeds
gebeurt tussen jou en de server, versleuteling en ontsleuteling gebeurt nog steeds in je browser, de code is nog steeds JavaScript en HTML5. Het enige verschil hier is dat u de volgende keer dat u verbinding maakt met CryptoCat-servers, de code die ze u sturen niet hoeft te vertrouwen. De code in uw browser is altijd aanwezig, u kunt deze controleren en controleren wanneer u maar wilt.
Lees het hele antwoord voor een beter perspectief op wat er wordt besproken in die thread heb ik slechts een kort fragment ervan opgenomen, ik wil Adnans eigen inspanningen niet opdringen.