Il dit que le chiffrement côté navigateur de MEGA est du génie. Non pas pour protéger l'utilisateur, mais pour protéger MEGA lui-même contre la modération a-priori des contenus (qui devient impossible).
Ça veut dire que je suis un génie (vue que j'ai sorti ZeroBin plusieurs mois avant que ne sorte MEGA) ?
(Rhôô Seb t'as pas honte...   *<:o)

Oh tiens, un fork de ZeroBin avec un look différent. (cf. http://zx.rs/7/ybin---paste-data-privately/).
Au moins, en voilà un qui a eu la bonne idée de ne *pas* mettre du Google Analytics dedans.

Reçu aujourd'hui:
« Subject: Issue 040xxxx: fraudulent URL at https://www.zerobin.net/?xxxxx
From : Netcraft Takedown Service

Dear Sir/Madam,
The following page is distributing login details:
https://www.zerobin.net/?xxxxxxxxx
We have found this link on the following page: http://xxxxxxx
This attack targets our customer, Netflix, website URL https://www.netflix.com/. Please remove this sensitive information as soon as possible.
Many thanks,
Netcraft »

Cher Netcraft: T'es pas foutu de faire la différence entre le propriétaire d'un domaine et l'auteur d'un logiciel opensource. Et le whois, c'est pour les lémuriens ?  Je ne suis pas le propriétaire du domain zerobin.net.  C'est quoi ton métier, déjà ?
Le fais que tu m'envoie cette mise en demeure me suffit pour savoir que je ne serai jamais client chez toi.

Woao... ça c'est cool. Un spécialiste en sécurité a fait gratuitement un audit sécurité de ZeroBin. Voici le résultat. C'est de la qualité.
Il me signale par email que ce qu'il a découvert n'est pas exploitable directement.  Je ferai de mon mieux pour effectuer les améliorations.
(Je viens déjà de merger un pull request concernant un des points.)

( ・_・)ノ  Euh dites les Anons.  Si vous pouviez poster ça sur un des nombreux ZeroBin qui existent autre que le mien, ça m'arrangerait.  Je n'ai pas encore pu migrer sur le nouveau serveur, et je ne voudrais pas encore écrouler le mutualisé que j'ai actuellement. Je sens que le serveur va fumer...  (cf. http://pastebin.com/jPECTN35)
EDIT: Backup exceptionnel supplémentaire terminé. On ne sait jamais.

Et hop... encore un ZeroBin en accès libre.

Je me demandais quand ça apparaîtrait, c'est fait: Timo a repris le code de ZeroBin et a fait un équivalent pour les fichiers. Seule limite: la taille des requêtes POST acceptées par votre serveur web (sans compter que l'encodage en base64 consomme aussi). N'espérez donc pas uploader des films (de vacances bien sûr) de 600 Mo.
Mais ça reste un proof-of-concept intéressant.

Si un jour quelqu'un veut devenir le nouveau Mega  :-)

EDIT: Ziirish me signale qu'il avait déjà détourné le client ZeroBin pour insérer des fichiers:  http://ziirish.info/bm/?PmaOGw

Si quelqu'un peut bien m'expliquer comment reproduire le problème ? Je n'y suis pas parvenu. Il l'injecte où son code Javascript ?
Parce que moi en collant le code Javascript dans ZeroBin, il s'affiche de façon standard, sans l'exécuter: http://sebsauvage.net/paste/?7b4c3b9f453f3a00#15fI5/3YawCujWTeaa7lLJ9LdxOkVGiP65J7yw1ZhDo=

EDIT: Oh ça y est j'ai capté: C'est à cause du code javascript que j'ai dû faire spécifiquement pour IE parce que ce dernier est le seul crétin à ne pas supporter white-space:pre-wrap;   Donc ce problème de sécurité ne se produit QUE DANS IE<10.

EDIT: Voilà c'est corrigé.  JE HAIS CETTE BOUSE D'INTERNET EXPLORER. C'est toujours une source de problèmes.
Le commit qui corrige est là: https://github.com/sebsauvage/ZeroBin/commit/28813cd82ae47e556b610da3c7302a6709e27431
Et le zip: https://github.com/sebsauvage/ZeroBin/archive/master.zip
Si vous voulez corriger à la main, il y a juste zerobin.js à mettre à jour (et changer le numéro de version dans index.php).

Merci à Gilles qui m'a rapporté le lien via son Shaarli (http://gilles.wittezaele.fr/links/?EU-WPg)

Un internaute qui m'a déjà écrit plusieurs fois utilise une astuce intelligente pour garder nos conversations privées: un double lien ZeroBin.
   1) il créé un paste ZeroBin avec une discussion.
   2) il poste le lien de cette discussion dans un nouveau paste qui est détruit à la première lecture.

Ainsi on peut ainsi poursuivre la discussion aussi longtemps qu'on veut: Même si quelqu'un accède au contenu de sa boite mail ou de la mienne, il ne peut pas venir lire notre discussion puisque le premier lien de la chaîne est détruit. C'est pas bête du tout !
(Et si quand j'ouvre le lien je vois qu'il est déjà expiré, cela veut dire que quelqu'un lit ou scanne mes mails.)

C'est vrai que je n'ai jamais pris le temps d'écrire un script de purge. Kevin l'a fait :-)

Effectivement: Techniquement, rien ne devrait s'opposer à ce que le client ZeroBin soit fourni sous forme d'une page HTML contenant tout le nécessaire.

Je n'ai pas l'intention de traduire ZeroBin, mais pour ceux que cela intéresse, Kevin a publié une version en français.

Voici la version 0.18 de ZeroBin, parmis les changements:

 • La coloration syntaxique ! (enfin), en utilisant highlight.js: détection automatique du langage, 53 langages supportés et supporte les mélanges html/css/javascript.
 • Quand vous pressez "Send", l'URL résultat est automatiquement sélectionnée: Vous n'avez plus que CTRL+C à presser   :-)
 • J'ai ajouté les expirations "5 minutes" et "1 semaine".
 • L'option "Burn after reading" est maintenant une case à cocher, ce qui vous permet de la coupler à une expiration pour éviter qu'une donnée sensible traîne indéfiniment sur internet.
 • J'ai ajouté un bouton "Text brut" pour récupérer plus facilement le texte.
 • Les librairies utilisées ont été mises à jour (jQuery, sjcl, base64.js)
 • Les dates dans les discussions ont été corrigées (elles affichent maintenant bien la date locale).
 • Diverses petites modifications (robots meta tags, meilleure vérification du json, etc.)

Ces modifications sont déjà en place sur le miens: http://sebsauvage.net/paste/

Pour mettre à jour, supprimez tout sauf votre répertoire data et dézippez la nouvelle version.

Voilà... j'ai (enfin diront certains) ajouté la coloration syntaxique à ZeroBin. La modification est disponible sur GitHub. C'est déjà en place sur le miens (http://sebsauvage.net/paste/).
Exemple: http://sebsauvage.net/paste/?8c290dc0e10bc563#ZcYi1wapQAEROS9GfCQ/GpywhKf7r3RcP+mKDZ2zyZs=

Sur les conseils de Oct, j'ai utilisé highlight.js. Pourquoi celui-là ?
  • assez léger.
  • auto-détection du langage.
  • supporte les mélanges (html+javascript+css).

L'auto-détection n'est pas parfaite (surtout sur les bouts de code très petits), mais ça devrait généralement faire l'affaire. Il faudra encore que je corrige la couleurs des liens.

J'ai corrigé (avec beaucoup de retard) une faille de sécurité qui permettait de piquer un json sur le serveur à condition de connaître son chemin.
Le correctif est comité sur GitHub: https://github.com/sebsauvage/ZeroBin/commit/41df300cf06ac307dc53c819e84ae34bfce8525d

Je n'ai pas encore changé le numéro de version. J'ai encore plein de choses à intégrer.

Tiens... les Anonymous on mis en place un ZeroBin avec discussion intégrée (version 0.16)

EDIT: Méfiance, il semblerait que ce serveur efface des documents.

PARDON ???
Quelqu'un peut-il me confirmer ça ?
EDIT: Non visiblement c'était un problème temporaire (ou une mauvaise classification d'un filtreur d'URL): http://twitter.com/slim404/status/211145411048640512

Je sais que j'ai divers pull request sur github concernant ZeroBin, mais cela ne va pas être rapide et surtout certains seront rejetés. La raison est simple (en dehors de mon manque de temps): Tout le monde s'est mis à faire du refactoring à grande échelle. Je ne vous raconte pas les merges que ça sous-entend.  (Si votre cerveau a lu "merdes", c'est une erreur.). Donc... patience, et d'avance désolé.

I know I have several pull requests on github regarding ZeroBin, but they will not be processed quickly and some of them will be rejected. The reason is (beside my lack of time): Most of them include code refactoring on a large scale, which will lead to complex merges. Please be patient.

Oh tiens... on parle de ZeroBin à 4:05 (Merci à johnbluesjunior pour le lien)

Woao... un internaute a déjà créé la version servlet Java correspondant à la partie php de ZeroBin.  (Je n'ai pas eu le temps de regarder le code.)

:-)

Cet internaute a développé une extension Chrome qui vérifie que les librairies crypto de ZeroBin n'ont pas été modifiées. Les sources seront diffusées d'ici peu.
(Je n'ai pas testé).

Deux corrections mineures, et ajout d'une fonctionnalité "Burn after reading": Le simple fait de lire le paste le détruit sur le serveur.