我搭建了一个 Pastebin，连我自己都读不懂你的数据

Source: Dev.to

问题

每次你分享密码或 API 密钥时，都在信任：

• 平台的服务器
• 平台的员工
• 平台的安全性
• 以及所有尚未发生的未来泄露

这对“一次快速粘贴”来说是相当大的信任。

普通的 pastebin 会以明文存储你的数据。当（而不是如果）它们被泄露时，所有内容都会曝光。

解决方案：零知识架构

CloakBin 在数据到达我们服务器之前，就在你的浏览器中对其进行加密。我们真的无法读取你的粘贴内容，即使我们想读。

1. 客户端加密

当你创建粘贴时，JavaScript 会在浏览器中使用 AES‑256（银行使用的同样加密）对内容进行加密。

2. 密钥永不离开浏览器

加密密钥保存在 URL 片段中——# 之后的部分：

https://cloakbin.com/abc123#your-secret-key

浏览器永远不会将 URL 片段发送到服务器。# 以及其后面的所有内容都停留在客户端。

ℹ️ 这是一个基本的网络安全特性。检查浏览器的网络标签——你永远不会在任何请求中看到片段。

3. 我们的服务器实际存储的内容

Encrypted blob: U2FsdGVkX1+8K3...
Key: ¯\_(ツ)_/¯

我们只存储加密后的噪音。没有密钥（我们从未收到），它是不可读的。

双因素共享问题

“很酷，但如果我在 Discord 上分享 URL，密钥就在消息里了。”

你说得对。这就是我们加入密码保护的原因。

使用密码保护时：

• 加密密钥由你的密码派生（使用 PBKDF2）。
• URL 中不出现密钥——只有一个干净的链接，例如 https://cloakbin.com/abc123。
• 只有知道密码的人才能解密。

安全共享工作流

1. 使用密码保护创建粘贴。
2. 在 Discord/Slack/邮件中分享链接。
3. 通过其他渠道（短信、电话等）发送密码。

两条渠道 = 更难同时被拦截。

试一试

准备好停止以明文方式共享机密了吗？

• 🔗 尝试 CloakBin – 创建你的第一个加密粘贴。
• 📖 查看源代码 – 如果觉得有用，请给仓库加星！

有问题或反馈吗？在下方留言或在 GitHub 上打开 issue。