Construyendo aplicaciones cifradas de extremo a extremo (Web y React Native)

Rate this content
Bookmark

Construir aplicaciones cifradas de extremo a extremo es emocionante, pero también intimidante. Esta charla está diseñada para reducir la barrera de entrada, ofreciendo una hoja de ruta clara para integrar el cifrado de extremo a extremo en aplicaciones colaborativas en tiempo real.

Comenzamos revelando un diseño simple con una clave de cifrado compartida, abordando rápidamente sus desafíos inherentes. Progresivamente, nos adentramos en herramientas como Opaque, Secsync y CRDTs para enfrentar los desafíos que identificamos y mejorar nuestra aplicación con el objetivo de ofrecer una experiencia de usuario fluida sin comprometer la seguridad.

Cada segmento de la charla comienza con una visión general accesible antes de adentrarse en ejemplos prácticos basados en código. Este enfoque no solo desmitifica la teoría intimidante, sino que también capacita a los asistentes con las herramientas y el conocimiento para aplicar estos principios de manera efectiva en sus proyectos.

This talk has been presented at React Summit 2024, check out the latest edition of this React Conference.

Nik Graf
Nik Graf
32 min
14 Jun, 2024

Comments

Sign in or register to post your comment.

Video Summary and Transcription

Esta charla explora el concepto y las ventajas del cifrado de extremo a extremo en el desarrollo de software. Se discuten los desafíos del cifrado de datos y la resolución de conflictos en aplicaciones colaborativas. Se destaca la integración del cifrado de extremo a extremo con tipos de datos replicados sin conflictos (CRDTs). La charla también cubre la sincronización simplificada de documentos, la sincronización y el cifrado en tiempo real, la gestión de claves y la autenticación. Además, se menciona la importancia de la integración local primero, los marcos de trabajo CRDT y los índices de búsqueda de datos.

1. Introducción a la Encriptación de Extremo a Extremo

Short description:

En esta parte, discutiremos el concepto y las ventajas de las aplicaciones encriptadas de extremo a extremo. El orador comparte su intriga personal por este tipo de aplicaciones y la motivación detrás de su desarrollo. Se presenta una aplicación de ejemplo práctica llamada Linny, una aplicación de tareas encriptada de extremo a extremo de código abierto. El orador demuestra la funcionalidad de la aplicación y destaca la capacidad de colaborar de forma segura. La charla profundizará en el tema central de la encriptación de extremo a extremo.

Así que, hola a todos. Comencemos. Construyendo aplicaciones encriptadas de extremo a extremo. ¿Qué quiero decir con eso? ¿Qué entiendo como una aplicación encriptada de extremo a extremo? Básicamente, una aplicación donde puedes tener múltiples clientes, pueden ser tus dispositivos, pueden ser dispositivos de otros usuarios, y puedes colaborar. Y el contenido solo es conocido por estos participantes. Entonces, todos los intermediarios, cualquier tercero, cualquier ISP, las personas que ejecutan el servicio, administrando la database, no pueden leer el contenido.

Y eso puede plantear la siguiente pregunta, ¿por qué hacer esto en realidad? Bueno, para mí, realmente me intrigó cuando usé por primera vez aplicaciones de mensajería como Signal y otras, y me di cuenta, wow, en realidad soy yo, puedo estar seguro de que el contenido solo puede ser leído por mí si el code es sólido. Y me intrigó desde dos perspectivas, porque como usuario, puedo decidir quién puede realmente leer mis data. Los administradores del servicio no pueden leer los data. Pero también, como alguien que ejecuta servicios y bases de datos, me intrigó mucho la idea de algún tipo de data, como data sensible, que ni siquiera quiero tener acceso. Y con la encriptación de extremo a extremo, básicamente puedes hacer que eso suceda.

Así que, me embarqué en ese camino hace algunos años y comencé a construir aplicaciones encriptadas de extremo a extremo. Y con eso, comencé a trabajar en herramientas. Y obviamente, vinieron con algunos desafíos en términos de UX y architecture, porque muchas cosas son diferentes. Y hoy quiero compartir estas lecciones. Y para hacer eso, sentí que quería construir algo realmente práctico o mostrar algo práctico. Y para procrastinar, construí esta aplicación llamada Linny, que está en GitHub, es de código abierto, y incluso puedes probarla en linny.app. Y lo especial de ella es que es una aplicación de tareas encriptada de extremo a extremo.

Permíteme mostrarte rápidamente. Está construida con Expo. Así que es React y React Native. Se compila para web, se compila para iOS, y aún no lo he configurado, pero también se puede hacer en Android. Y veamos rápidamente aquí, podemos registrarnos, nombre de usuario, contraseña, y podemos iniciar sesión. Tenemos aquí nuestra lista de tareas, podemos agregar elementos. Si miras en el lado derecho, se sincroniza directamente con el otro dispositivo, con la aplicación mobile. Y todo está encriptado de extremo a extremo. Pero lo especial de esto es que también podemos crear enlaces de invitación, copiar el enlace, e ir a otro usuario. El usuario puede aceptar la aplicación, la invitación, y compartimos esta lista de tareas encriptada de extremo a extremo y podemos colaborar en ella. Y lo que quiero hacer ahora con esta charla es básicamente guiarte a través de cómo llegué allí. Así que comencemos con el núcleo de esto, la encriptación de extremo a extremo.

2. Encriptación de Datos y Resolución de Conflictos

Short description:

Nos aseguramos de la transmisión segura de datos mediante su encriptación con una clave y el envío del texto cifrado. La desencriptación es posible con la clave. El manejo de bloques encriptados y la gestión de conflictos en aplicaciones colaborativas son desafíos. Un enfoque es encriptar todo el contenido con una clave y enviarlo. Sin embargo, para la colaboración en tiempo real, se utilizan tipos de datos replicados sin conflictos (CRDT) para resolver conflictos.

Lo que queremos hacer es enviar data de A a B, y nadie en el medio debería poder leerlo. Y eso es un problema resuelto. Solo defines una clave o generas una clave, encriptas los data. Entonces aquí, por ejemplo, mi lista de tareas, con la clave, obtienes un texto cifrado, lo envías a través de tu servidor. Y si no te importa que el servidor conozca los metadatos, entonces puedes enviar solo el texto cifrado y el texto cifrado no revela nada sobre los data excepto su longitud, que es metadato en ese sentido nuevamente.

Y en el otro extremo, si tengo la clave, simplemente puedo desencriptarlo y tener los data. Y aunque hay muchos detalles, todos estos están resueltos, y solo tienes que escribir y elegir los algoritmos correctos y pista, pista. Puedes usar bibliotecas para hacer eso. Llegaremos a eso en un momento.

Pero quiero profundizar un poco más en lo que realmente encriptamos. Porque en comparación con un sistema donde la database es la única fuente de verdad y tienes todos los data allí, es un poco más complicado cuando solo obtienes texto cifrado y bloques encriptados. Porque si tienes una lista de tareas y recibes una solicitud de API para agregar una tarea, en realidad no obtienes eso. Solo recibes información de que hay un nuevo texto cifrado en el servidor. ¿Cómo lo gestionas? Y una forma muy simple y fácil de hacerlo es encriptar con una clave, con una clave de lista de tareas el contenido completo de la lista de tareas y enviarlo. Y eso funciona. Y para algunas aplicaciones, eso es definitivamente suficiente. Si solo necesitas hacer eso, genial.

Pero si quieres construir algo que funcione de manera colaborativa y en tiempo real, eso no será suficiente. Porque rápidamente te encontrarás con conflictos. ¿Qué haces si diferentes dispositivos crean cambios prácticamente al mismo tiempo en el mismo objeto? Permíteme ilustrarlo con un ejemplo. Digamos que tienes dos líneas de tiempo, dos clientes. Uno agrega una tarea, lo sincronizas. Y luego, básicamente antes de sincronizar nuevamente, cada uno de estos dispositivos realiza un cambio, lo encripta y desea sincronizarlo. Y eso se vuelve realmente complicado porque ¿cómo lo resuelves? Estos diferentes... cuando lo sincronizas. Y afortunadamente, esto también es un problema resuelto. Solo tienes que usar CRDT, tipos de datos replicados sin conflictos. Suena aterrador. Y definitivamente vale la pena hablar de ellos por separado. Pero en pocas palabras, son simplemente estructuras de datos que te permiten sincronizar sin obtener un conflicto.

QnA

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Una Guía del Comportamiento de Renderizado de React
React Advanced Conference 2022React Advanced Conference 2022
25 min
Una Guía del Comportamiento de Renderizado de React
Top Content
This transcription provides a brief guide to React rendering behavior. It explains the process of rendering, comparing new and old elements, and the importance of pure rendering without side effects. It also covers topics such as batching and double rendering, optimizing rendering and using context and Redux in React. Overall, it offers valuable insights for developers looking to understand and optimize React rendering.
Construyendo Mejores Sitios Web con Remix
React Summit Remote Edition 2021React Summit Remote Edition 2021
33 min
Construyendo Mejores Sitios Web con Remix
Top Content
Remix is a web framework built on React Router that focuses on web fundamentals, accessibility, performance, and flexibility. It delivers real HTML and SEO benefits, and allows for automatic updating of meta tags and styles. It provides features like login functionality, session management, and error handling. Remix is a server-rendered framework that can enhance sites with JavaScript but doesn't require it for basic functionality. It aims to create quality HTML-driven documents and is flexible for use with different web technologies and stacks.
Compilador React Forget - Entendiendo React Idiomático
React Advanced Conference 2023React Advanced Conference 2023
33 min
Compilador React Forget - Entendiendo React Idiomático
Top Content
Joe Savona
Mofei Zhang
2 authors
The Talk discusses React Forget, a compiler built at Meta that aims to optimize client-side React development. It explores the use of memoization to improve performance and the vision of Forget to automatically determine dependencies at build time. Forget is named with an F-word pun and has the potential to optimize server builds and enable dead code elimination. The team plans to make Forget open-source and is focused on ensuring its quality before release.
Uso efectivo de useEffect
React Advanced Conference 2022React Advanced Conference 2022
30 min
Uso efectivo de useEffect
Top Content
Today's Talk explores the use of the useEffect hook in React development, covering topics such as fetching data, handling race conditions and cleanup, and optimizing performance. It also discusses the correct use of useEffect in React 18, the distinction between Activity Effects and Action Effects, and the potential misuse of useEffect. The Talk highlights the benefits of using useQuery or SWR for data fetching, the problems with using useEffect for initializing global singletons, and the use of state machines for handling effects. The speaker also recommends exploring the beta React docs and using tools like the stately.ai editor for visualizing state machines.
Enrutamiento en React 18 y más allá
React Summit 2022React Summit 2022
20 min
Enrutamiento en React 18 y más allá
Top Content
Routing in React 18 brings a native app-like user experience and allows applications to transition between different environments. React Router and Next.js have different approaches to routing, with React Router using component-based routing and Next.js using file system-based routing. React server components provide the primitives to address the disadvantages of multipage applications while maintaining the same user experience. Improving navigation and routing in React involves including loading UI, pre-rendering parts of the screen, and using server components for more performant experiences. Next.js and Remix are moving towards a converging solution by combining component-based routing with file system routing.
(Más fácil) Visualización interactiva de datos en React
React Advanced Conference 2021React Advanced Conference 2021
27 min
(Más fácil) Visualización interactiva de datos en React
Top Content
This Talk is about interactive data visualization in React using the Plot library. Plot is a high-level library that simplifies the process of visualizing data by providing key concepts and defaults for layout decisions. It can be integrated with React using hooks like useRef and useEffect. Plot allows for customization and supports features like sorting and adding additional marks. The Talk also discusses accessibility concerns, SSR support, and compares Plot to other libraries like D3 and Vega-Lite.

Workshops on related topic

Masterclass de Depuración de Rendimiento de React
React Summit 2023React Summit 2023
170 min
Masterclass de Depuración de Rendimiento de React
Top Content
Featured WorkshopFree
Ivan Akulov
Ivan Akulov
Los primeros intentos de Ivan en la depuración de rendimiento fueron caóticos. Vería una interacción lenta, intentaría una optimización aleatoria, vería que no ayudaba, y seguiría intentando otras optimizaciones hasta que encontraba la correcta (o se rendía).
En aquel entonces, Ivan no sabía cómo usar bien las herramientas de rendimiento. Haría una grabación en Chrome DevTools o React Profiler, la examinaría, intentaría hacer clic en cosas aleatorias, y luego la cerraría frustrado unos minutos después. Ahora, Ivan sabe exactamente dónde y qué buscar. Y en esta masterclass, Ivan te enseñará eso también.
Así es como va a funcionar. Tomaremos una aplicación lenta → la depuraremos (usando herramientas como Chrome DevTools, React Profiler, y why-did-you-render) → identificaremos el cuello de botella → y luego repetiremos, varias veces más. No hablaremos de las soluciones (en el 90% de los casos, es simplemente el viejo y regular useMemo() o memo()). Pero hablaremos de todo lo que viene antes - y aprenderemos a analizar cualquier problema de rendimiento de React, paso a paso.
(Nota: Esta masterclass es más adecuada para ingenieros que ya están familiarizados con cómo funcionan useMemo() y memo() - pero quieren mejorar en el uso de las herramientas de rendimiento alrededor de React. Además, estaremos cubriendo el rendimiento de la interacción, no la velocidad de carga, por lo que no escucharás una palabra sobre Lighthouse 🤐)
Aventuras de Renderizado Concurrente en React 18
React Advanced Conference 2021React Advanced Conference 2021
132 min
Aventuras de Renderizado Concurrente en React 18
Top Content
Featured WorkshopFree
Maurice de Beijer
Maurice de Beijer
Con el lanzamiento de React 18 finalmente obtenemos el tan esperado renderizado concurrente. Pero, ¿cómo va a afectar eso a tu aplicación? ¿Cuáles son los beneficios del renderizado concurrente en React? ¿Qué necesitas hacer para cambiar al renderizado concurrente cuando actualices a React 18? ¿Y qué pasa si no quieres o no puedes usar el renderizado concurrente todavía?

¡Hay algunos cambios de comportamiento de los que debes estar al tanto! En esta masterclass cubriremos todos esos temas y más.

Acompáñame con tu portátil en esta masterclass interactiva. Verás lo fácil que es cambiar al renderizado concurrente en tu aplicación React. Aprenderás todo sobre el renderizado concurrente, SuspenseList, la API startTransition y más.
Consejos sobre React Hooks que solo los profesionales conocen
React Summit Remote Edition 2021React Summit Remote Edition 2021
177 min
Consejos sobre React Hooks que solo los profesionales conocen
Top Content
Featured Workshop
Maurice de Beijer
Maurice de Beijer
La adición de la API de hooks a React fue un cambio bastante importante. Antes de los hooks, la mayoría de los componentos tenían que ser basados en clases. Ahora, con los hooks, estos son a menudo componentes funcionales mucho más simples. Los hooks pueden ser realmente simples de usar. Casi engañosamente simples. Porque todavía hay muchas formas en las que puedes equivocarte con los hooks. Y a menudo resulta que hay muchas formas en las que puedes mejorar tus componentes con una mejor comprensión de cómo se puede usar cada hook de React.Aprenderás todo sobre los pros y los contras de los diversos hooks. Aprenderás cuándo usar useState() versus useReducer(). Veremos cómo usar useContext() de manera eficiente. Verás cuándo usar useLayoutEffect() y cuándo useEffect() es mejor.
React, TypeScript y TDD
React Advanced Conference 2021React Advanced Conference 2021
174 min
React, TypeScript y TDD
Top Content
Featured WorkshopFree
Paul Everitt
Paul Everitt
ReactJS es extremadamente popular y, por lo tanto, ampliamente soportado. TypeScript está ganando popularidad y, por lo tanto, cada vez más soportado.

¿Los dos juntos? No tanto. Dado que ambos cambian rápidamente, es difícil encontrar materiales de aprendizaje precisos.

¿React+TypeScript, con los IDEs de JetBrains? Esa combinación de tres partes es el tema de esta serie. Mostraremos un poco sobre mucho. Es decir, los pasos clave para ser productivo, en el IDE, para proyectos de React utilizando TypeScript. En el camino, mostraremos el desarrollo guiado por pruebas y enfatizaremos consejos y trucos en el IDE.
Masterclass Web3 - Construyendo Tu Primer Dapp
React Advanced Conference 2021React Advanced Conference 2021
145 min
Masterclass Web3 - Construyendo Tu Primer Dapp
Top Content
Featured WorkshopFree
Nader Dabit
Nader Dabit
En esta masterclass, aprenderás cómo construir tu primer dapp de pila completa en la blockchain de Ethereum, leyendo y escribiendo datos en la red, y conectando una aplicación de front end al contrato que has desplegado. Al final de la masterclass, entenderás cómo configurar un entorno de desarrollo de pila completa, ejecutar un nodo local e interactuar con cualquier contrato inteligente usando React, HardHat y Ethers.js.
Diseñando Pruebas Efectivas con la Biblioteca de Pruebas de React
React Summit 2023React Summit 2023
151 min
Diseñando Pruebas Efectivas con la Biblioteca de Pruebas de React
Top Content
Featured Workshop
Josh Justice
Josh Justice
La Biblioteca de Pruebas de React es un gran marco para las pruebas de componentes de React porque responde muchas preguntas por ti, por lo que no necesitas preocuparte por esas preguntas. Pero eso no significa que las pruebas sean fáciles. Todavía hay muchas preguntas que tienes que resolver por ti mismo: ¿Cuántas pruebas de componentes debes escribir vs pruebas de extremo a extremo o pruebas de unidad de nivel inferior? ¿Cómo puedes probar una cierta línea de código que es difícil de probar? ¿Y qué se supone que debes hacer con esa persistente advertencia de act()?
En esta masterclass de tres horas, presentaremos la Biblioteca de Pruebas de React junto con un modelo mental de cómo pensar en el diseño de tus pruebas de componentes. Este modelo mental te ayudará a ver cómo probar cada bit de lógica, si debes o no simular dependencias, y ayudará a mejorar el diseño de tus componentes. Te irás con las herramientas, técnicas y principios que necesitas para implementar pruebas de componentes de bajo costo y alto valor.
Tabla de contenidos- Los diferentes tipos de pruebas de aplicaciones de React, y dónde encajan las pruebas de componentes- Un modelo mental para pensar en las entradas y salidas de los componentes que pruebas- Opciones para seleccionar elementos DOM para verificar e interactuar con ellos- El valor de los mocks y por qué no deben evitarse- Los desafíos con la asincronía en las pruebas de RTL y cómo manejarlos
Requisitos previos- Familiaridad con la construcción de aplicaciones con React- Experiencia básica escribiendo pruebas automatizadas con Jest u otro marco de pruebas unitarias- No necesitas ninguna experiencia con la Biblioteca de Pruebas de React- Configuración de la máquina: Node LTS, Yarn