<div>Mike,</div><div><br></div><div>><span class="" style="font-family:arial,sans-serif;font-size:13px">I can't trust any javascript that your service sends to my browser over </span><span class="" style="font-family:arial,sans-serif;font-size:13px">Tor, because you don't use https.</span></div>
<div><br></div><div>Great feedback. We are installing the cert in the next couple of weeks, there is a process for that, and the kind of cert we want takes a little time and work. We are still looking for feedback during that period.</div>
<div><br></div><div>><span class="" style="font-family:arial,sans-serif;font-size:13px">How do I know that script came from </span><span class="" style="font-family:arial,sans-serif;font-size:13px">your server and that it's not a modified version which came from an exit </span><span class="" style="font-family:arial,sans-serif;font-size:13px">node, which is going to report the key back to them after it is generated?</span></div>
<div><span class="" style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span class="" style="font-family:arial,sans-serif;font-size:13px">This is one reason we would like to create a client side plugin for the TOR browser. Any ideas how this would be done? I would also like some online pointers about how the javascript client side encryption (we are using cryptico <a href="https://github.com/wwwtyro/cryptico">https://github.com/wwwtyro/cryptico</a>)  could be hijacked so we can endeavor to thwart these exploits.</span></div>
<div><span class="" style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span class="" style="font-family:arial,sans-serif;font-size:13px">></span><span class="" style="font-family:arial,sans-serif;font-size:13px">HSTS </span><span class="" style="font-family:arial,sans-serif;font-size:13px">should be used so browsers remember to use https, and you should contact </span><span class="" style="font-family:arial,sans-serif;font-size:13px">the Chromium project to get yourself on their list of pinned SSL sites </span><span class="" style="font-family:arial,sans-serif;font-size:13px">for first time visitors (which is also used in Firefox now I believe), </span><span class="" style="font-family:arial,sans-serif;font-size:13px">and is also used in the HTTPS-Everywhere project for rule generation.</span></div>
<div><span class="" style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span class="" style="font-family:arial,sans-serif;font-size:13px">Wonderful! Thank you so much! All pointers and references are aprecciated!</span></div>
<div><span class="" style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div>Clay</div><div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Dec 2, 2012 at 5:44 AM,  <span dir="ltr"><<a href="mailto:tor@lists.grepular.com" target="_blank">tor@lists.grepular.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 01/12/12 23:39, Clay Graham wrote:<br>
<br>
> You may remember an email from me about a week ago, and I could really<br>
> use some pointers.<br>
><br>
> We just stealth launched an alpha version of <a href="http://grailo.net" target="_blank">http://grailo.net</a> and I<br>
> would love all of you to try it out and give me feedback. Its 100% open<br>
> source, 100% free, and you can even fork the project yourself on github.<br>
><br>
> Its goal: Create a simple to use client side, RSA public key encryption<br>
> for microblogging on the internet.<br>
><br>
> The reason I am reaching out to you is I am I am interested in creating<br>
> a client side plugin for the TOR browser so that people can use the<br>
> client side encryption safely and privately, and without fear. Since<br>
> scripting is disabled in TOR, with good reason, I want a plugin that is<br>
> blessed by the TOR project as open and safe for encryption.<br>
><br>
> Any leads on where to get started are greatly appreciated.<br>
<br>
</div></div>I can't trust any javascript that your service sends to my browser over<br>
Tor, because you don't use https. That javascript on the signup page<br>
which generates your private key... How do I know that script came from<br>
your server and that it's not a modified version which came from an exit<br>
node, which is going to report the key back to them after it is generated?<br>
<br>
At a bare minimum, before I would even start considering using this<br>
service, every single resource that your site delivers should be sent<br>
over https, all http connections should be redirected to https. HSTS<br>
should be used so browsers remember to use https, and you should contact<br>
the Chromium project to get yourself on their list of pinned SSL sites<br>
for first time visitors (which is also used in Firefox now I believe),<br>
and is also used in the HTTPS-Everywhere project for rule generation.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Mike Cardwell  <a href="https://grepular.com/" target="_blank">https://grepular.com/</a>     <a href="http://cardwellit.com/" target="_blank">http://cardwellit.com/</a><br>
OpenPGP Key    35BC AF1D 3AA2 1F84 3DC3  B0CF 70A5 F512 0018 461F<br>
XMPP OTR Key   8924 B06A 7917 AAF3 DBB1  BF1B 295C 3C78 3EF1 46B4<br>
<br>
</font></span><br>_______________________________________________<br>
tor-dev mailing list<br>
<a href="mailto:tor-dev@lists.torproject.org">tor-dev@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>=================<br>Founder Welocally<br><a href="http://welocally.com" target="_blank">http://welocally.com</a><div>helping local thrive</div><br>
</div>