Re: [Hackmeeting] Aquileaks

Delete this message

Reply to this message
Author: vecna mc claudio
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] Aquileaks
Il giorno 22 maggio 2012 15:37, boyska <piuttosto@???> ha
scritto:

>
> ottimo. immagino che i commenti li possano fare sia quelli col link che
> quelli con la ricevuta.
>
> si :)



>
> chmod a-rwx /dir/dove/dovrebbe/loggare
> disabilitare ogni forma di logging di python, nginx o qualsiasi altra
> cosa.
> montare /var/log/ come tmpfs.
> logrotate: rotate 3
> Le solite robe, giusto così, perché ci fidiamo :P
>


Il bello di lavorare su una VM, è proprio che puoi non dimenticare nessuno
di questi passaggi :)



>
> > E' creato di default
>
> scusa che vuol dire che è creato di default? l'hidden service si crea
> modificando il proprio torrc, mica lo puoi creare da python...
>
> lo script di creazione della VM, causa che c'e' un torrc che crea un HS al

primo avvio, e dopo lo script di installazione, la macchina viene spenta
per essere distribuita. così, ogni persona che avvia la virtualbox, si
trova un hidden service dedicato, (e unico), che già gira.

In questo momento avevo dei problemi a farlo raggiungere, sulla VM, ma deve
riguardare qualcosa di firewalling.


> altro requisito: c'è già la localizzazione in italiano? sennò tocca
> farla.
>
> c'è parziale, va aggiornata.

e poi devi pensare "chi riceverà ste informazioni" ? sono persone che
devono essere formate, che si troveranno a ricevere merda, menzogne e
talvolta qualche perla. che le riceveranno anonimamente, quando tutto il
giornalismo attuale si basa sulla verifica dell'affidabilità della fonte.
quando ci sono dati che non possono essere materialmente verificati, e
bisogna quantomeno che questi tizi abbiano un qualche tipo di spiegazione.
Insomma, non so quanti volete seguire questo proj, da parte mia ti posso
dire: "il software (la 0.1, in giugno 2012) è il meno! l'attività di
formazione, sensibilizzazione, comunicazione... attività della quale NON
siamo esperti, potrebbe essere quella piu' onerosa". la localizzazione sarà
un utile passo, ma in questa fase in cui non ci sono precedenti, aquileaks
verrà alla luce se ci saranno meno coder e piu' wildcard :)



> > inoltre, la parte di interfaccia web in questo momento ne abbiamo 3. un
> > template basato su web2py e sulle nostre modifiche, un template usato da
> un
> > media serbo, un template sviluppato in nonricordocosaJS.
>
> il nonricordocosaJS sarebbe server-side js o client-side?
>


Client side.


> tendenzialmente se vogliamo essere paranoici una roba tutta statica è
> meglio, per ovvie ragioni di sicurezza.
> Linkamele un po', che le vedo :)
>
> Non si puo' fare con roba statica. il framework web2py, di suo, inietta

javascript nelle form. poi, il file uploader, per supportare le
retransmission (che avvengono *certamente* se uploadi tramite Tor piu' di
un pugno di megabyte) è implementato in js con una REST tutta sua. il
problema dei contenuti attivi (ma afaik, degli "altri" plugins: flash,
silverlight, real, piuttosto che js), diventa tale solo se viene
compromesso il servizio. se questo succede, beh, sono cazzi che non devono
succedere :) per questo servirà far risiedere la vm su un supporto cifrato,
e non far sapere dove si trova (benefit aggiuntivo dell'avere HS)

http://github.com/globaleaks/GlobaLeaks prova a seguire un po' l'howto,
vedrai che qualcosa già tiri su :)

ciao,
v