cuducos / pwned-antifas

https://projeto7c0.com.br/pwned-antifas/
GNU General Public License v3.0
50 stars 7 forks source link

Remove necessidade de criar os hashes em outro serviço #4

Closed earaujoassis closed 4 years ago

earaujoassis commented 4 years ago

Pessoal, eu particularmente acredito que ter uma solução integrada, sem a necessidade de criar um hash a partir de outro serviço, seja uma solução mais fácil para usuários leigos. Além disso, tentei tornar o projeto mais fácil para desenvolver localmente sem o PDF do dossiê (que foi o meu caso). Acredito que isso não tenha quebrado o projeto com o dossiê, mas vocês estarão numa melhor posição para verificar isso.

A biblioteca que estou usando para fazer o hash localmente é essa daqui: https://www.npmjs.com/package/js-sha512

O código para a biblioteca está com verificação de integridade. Bom, pull-request é sempre uma proposta e estou aberto a demais considerações.

Excelente iniciativa! Abraço!

earaujoassis commented 4 years ago

Eu revisei o que alguns usuários comentaram no Twitter e, se o hash for gerado localmente, no próprio navegador, não acredito que há risco algum. Em tese, se houver riscos, o próprio copiar & colar a partir do DuckDuckGo já seria um risco também 😅

guilhermednt commented 4 years ago

O problema de segurança não é puramente técnico e sem cultural/educacional. Não queremos “ensinar” ao usuário que é seguro digitar seu nome nesse tipo de site.

Esse é confiável mas ele pode se deparar com um outro que não é e digitar seu nome.

Alem disso não há como saber, para um leigo, se o código do GitHub é o mesmo que está rodando, mesmo que o hash seja feito 100% no browser. Na verdade um leigo não vai entender nem o código do GitHub mas enfim.

earaujoassis commented 4 years ago

O problema de segurança não é puramente técnico e sem cultural/educacional. Não queremos “ensinar” ao usuário que é seguro digitar seu nome nesse tipo de site.

Esse é confiável mas ele pode se deparar com um outro que não é e digitar seu nome.

Alem disso não há como saber, para um leigo, se o código do GitHub é o mesmo que está rodando, mesmo que o hash seja feito 100% no browser. Na verdade um leigo não vai entender nem o código do GitHub mas enfim.

Da perspetiva de um usuário leigo, a este está sendo solicitado gerar o hash através de outro site. E tendo em vista que alguns comentaram que não entenderam nada, não sei se está sendo de fato efetivo o propósito cultural/educacional. Embora eu ache, sim, válida essa questão.

cuducos commented 4 years ago

Oi @earaujoassis. Muito obrigado pelo PR. Como o @guilhermednt falou:

O problema de segurança não é puramente técnico e sem cultural/educacional. Não queremos “ensinar” ao usuário que é seguro digitar seu nome nesse tipo de site.

Então receber como input qualquer dado que não queremos dar visibilidade não é uma opção agora.

E tendo em vista que alguns comentaram que não entenderam nada, não sei se está sendo de fato efetivo o propósito cultural/educacional.

Se você olhar as primeiras horas de vida do protótipo, concordo. Mas a ideia é colher esse feedback e melhorar. Nos mesmos fio de tuítes teve gente sugerindo melhorias no texto, GIFs para ajudar, imagens etc. Acho que esse caminho é mais interessante antes de entrarmos num caminho perigoso de acostumar usuários a dar mais dados sensíveis em sites.

Por isso, por enquanto, vou fechar esse PR, mas agradeço muito o interesse mesmo assim. Vi que na tua branch tem mais alterações além das necessárias para o título (_Remove necessidade de criar os hashes em outro serviço). Se quiser conversar sobre elas, pode portá-las para outro PR e tocamos lá, ok?

E, se nem com melhorias de comunicação melhorar a usabilidade, voltamos a esse PR que fica guardadinho :purple_heart: Muito obrigado : )

earaujoassis commented 4 years ago

se nem com melhorias de comunicação melhorar a usabilidade

Não há como analisar e comparar algo que não está mensurável 😅 Mas respeito as decisões de arquitetura e design de vocês 😊