coquelicot.rb

   1 require 'sinatra'
   2 require 'haml'
   3 require 'digest/sha1'
   4 require 'base64'
   5 require 'openssl'
   6 require 'yaml'
   7 require 'lockfile'
   8 require 'singleton'
   9
  10 enable :inline_templates
  11
  12 set :upload_password, '0e5f7d398e6f9cd1f6bac5cc823e363aec636495'
  13 set :filename_length, 20
  14 set :random_pass_length, 16
  15 set :lockfile_options, { :timeout => 60,
  16                          :max_age => 8,
  17                          :refresh => 2,
  18                          :debug   => false }
  19
  20 class StoredFile
  21   attr_reader :meta
  22
  23   def self.open(path, pass)
  24     StoredFile.new(path, pass)
  25   end
  26
  27   def each
  28     # output content
  29     yield @initial_content
  30     @initial_content = nil
  31     until (buf = @file.read(BUFFER_LEN)).nil?
  32       yield @cipher.update(buf)
  33     end
  34     yield @cipher.final
  35     @cipher.reset
  36     @cipher = nil
  37   end
  38
  39   def mtime
  40     @file.mtime
  41   end
  42
  43   def self.create(src, pass, meta)
  44     salt = gen_salt
  45     clear_meta = { "Coquelicot" => COQUELICOT_VERSION,
  46                    "Salt" => Base64.encode64(salt).strip }
  47     yield YAML.dump(clear_meta) + YAML_START
  48
  49     cipher = get_cipher(pass, salt, :encrypt)
  50     yield cipher.update(YAML.dump(meta) + YAML_START)
  51     src.rewind
  52     while not (buf = src.read(BUFFER_LEN)).nil?
  53       yield cipher.update(buf)
  54     end
  55     yield cipher.final
  56   end
  57
  58 private
  59
  60   YAML_START = "--- \n"
  61   CIPHER = 'AES-256-CBC'
  62   SALT_LEN = 8
  63   BUFFER_LEN = 4096
  64   COQUELICOT_VERSION = "1.0"
  65
  66   def self.get_cipher(pass, salt, method)
  67     hmac = OpenSSL::PKCS5.pbkdf2_hmac_sha1(pass, salt, 2000, 48)
  68     cipher = OpenSSL::Cipher.new CIPHER
  69     cipher.method(method).call
  70     cipher.key = hmac[0..31]
  71     cipher.iv = hmac[32..-1]
  72     cipher
  73   end
  74
  75   def self.gen_salt
  76     OpenSSL::Random::random_bytes(SALT_LEN)
  77   end
  78
  79   def initialize(path, pass)
  80     @file = File.open(path)
  81     if YAML_START != (buf = @file.read(YAML_START.length)) then
  82       raise "unknown file, read #{buf.inspect}"
  83     end
  84     parse_clear_meta
  85     init_decrypt_cipher pass
  86     parse_meta
  87   end
  88
  89   def parse_clear_meta
  90     meta = ''
  91     until YAML_START == (line = @file.readline) do
  92       meta += line
  93     end
  94     @meta = YAML.load(meta)
  95     if @meta["Coquelicot"].nil? or @meta["Coquelicot"] != COQUELICOT_VERSION then
  96       raise "unknown file"
  97     end
  98   end
  99
 100   def init_decrypt_cipher(pass)
 101     salt = Base64.decode64(@meta["Salt"])
 102     @cipher = StoredFile::get_cipher(pass, salt, :decrypt)
 103   end
 104
 105   def parse_meta
 106     yaml = ''
 107     buf = @file.read(BUFFER_LEN)
 108     content = @cipher.update(buf)
 109     raise "bad key" unless content.start_with? YAML_START
 110     yaml << YAML_START
 111     block = content.split(YAML_START, 3)
 112     yaml << block[1]
 113     if block.length == 3 then
 114       @initial_content = block[2]
 115       @meta.merge! YAML.load(yaml)
 116       return
 117     end
 118
 119     until (buf = @file.read(BUFFER_LEN)).nil? do
 120       block = @cipher.update(buf).split(YAML_START, 3)
 121       yaml << block[0]
 122       break if block.length == 2
 123     end
 124     @initial_content = block[1]
 125     @meta.merge! YAML.load(yaml)
 126   end
 127
 128   def close
 129     @cipher.reset unless @cipher.nil?
 130     @file.close
 131   end
 132 end
 133
 134 class Depot
 135   include Singleton
 136
 137   attr_accessor :path, :lockfile_options, :filename_length
 138
 139   def add_file(src, pass, options)
 140     dst = nil
 141     lockfile.lock do
 142       dst = gen_random_file_name
 143       File.open(full_path(dst), 'w').close
 144     end
 145     begin
 146       File.open(full_path(dst), 'w') do |dest|
 147         StoredFile.create(src, pass, options) { |data| dest.write data }
 148       end
 149     rescue
 150       File.unlink full_path(dst)
 151       raise
 152     end
 153     link = gen_random_file_name
 154     add_link(link, dst)
 155     link
 156   end
 157
 158   def get_file(link, pass)
 159     name = read_link(link)
 160     return nil if name.nil?
 161     StoredFile::open(full_path(name), pass)
 162   end
 163
 164   def file_exists?(link)
 165     name = read_link(link)
 166     return !name.nil?
 167   end
 168
 169 private
 170
 171   def lockfile
 172     Lockfile.new "#{@path}/.lock", @lockfile_options
 173   end
 174
 175   def links_path
 176     "#{@path}/.links"
 177   end
 178
 179   def add_link(src, dst)
 180     lockfile.lock do
 181       File.open(links_path, 'a') do |f|
 182         f.write("#{src} #{dst}\n")
 183       end
 184     end
 185   end
 186
 187   def remove_link(src)
 188     lockfile.lock do
 189       links = []
 190       File.open(links_path, 'r+') do |f|
 191         f.readlines.each do |l|
 192           links << l unless l.start_with? "#{src} "
 193         end
 194         f.rewind
 195         f.truncate(0)
 196         f.write links.join
 197       end
 198     end
 199   end
 200
 201   def read_link(src)
 202     dst = nil
 203     lockfile.lock do
 204       File.open(links_path) do |f|
 205         begin
 206           line = f.readline
 207           if line.start_with? "#{src} " then
 208             dst = line.split[1]
 209             break
 210           end
 211         end until line.empty?
 212       end
 213     end
 214     dst
 215   end
 216
 217   def gen_random_file_name
 218     begin
 219       name = gen_random_base32(@filename_length)
 220     end while File.exists?(full_path(name))
 221     name
 222   end
 223
 224   def full_path(name)
 225     raise "Wrong name" unless name.each_char.collect { |c| FILENAME_CHARS.include? c }.all?
 226     "#{@path}/#{name}"
 227   end
 228 end
 229 def depot
 230   @depot unless @depot.nil?
 231
 232   @depot = Depot.instance
 233   @depot.path = options.depot_path if @depot.path.nil?
 234   @depot.lockfile_options = options.lockfile_options if @depot.lockfile_options.nil?
 235   @depot.filename_length = options.filename_length if @depot.filename_length.nil?
 236   @depot
 237 end
 238
 239 # Like RFC 4648 (Base32)
 240 FILENAME_CHARS = %w(a b c d e f g h i j k l m n o p q r s t u v w x y z 2 3 4 5 6 7)
 241 def gen_random_base32(length)
 242   name = ''
 243   OpenSSL::Random::random_bytes(length).each_byte do |i|
 244     name << FILENAME_CHARS[i % FILENAME_CHARS.length]
 245   end
 246   name
 247 end
 248 def gen_random_pass
 249   gen_random_base32(options.random_pass_length)
 250 end
 251
 252 def password_match?(password)
 253   return TRUE if settings.upload_password.nil?
 254   (not password.nil?) && Digest::SHA1.hexdigest(password) == settings.upload_password
 255 end
 256
 257 get '/style.css' do
 258   content_type 'text/css', :charset => 'utf-8'
 259   sass :style
 260 end
 261
 262 get '/' do
 263   haml :index
 264 end
 265
 266 get '/ready/:link' do |link|
 267   link, pass = link.split '-' if link.include? '-'
 268   unless depot.file_exists? link then
 269     not_found
 270   end
 271   base = request.url.gsub(/\/ready\/[^\/]*$/, '')
 272   @url = "#{base}/#{link}-#{pass}"
 273   haml :ready
 274 end
 275
 276 post '/upload' do
 277   unless password_match? params[:upload_password] then
 278     error 403
 279   end
 280   if params[:file] then
 281     tmpfile = params[:file][:tempfile]
 282     name = params[:file][:filename]
 283   end
 284   if tmpfile.nil? || name.nil? then
 285     @error = "No file selected"
 286     return haml(:index)
 287   end
 288   if params[:file_key] then
 289     pass = params[:file_key]
 290   else
 291     pass = gen_random_pass
 292   end
 293   src = params[:file][:tempfile]
 294   link = depot.add_file(
 295      src, pass,
 296      { "Filename" => params[:file][:filename],
 297        "Length" => src.stat.size,
 298        "Content-Type" => params[:file][:type]
 299      })
 300   redirect "ready/#{link}-#{pass}" if params[:file_key].nil?
 301   redirect "ready/#{link}"
 302 end
 303
 304 def send_stored_file(link, pass)
 305   file = depot.get_file(link, pass)
 306   return false if file.nil?
 307
 308   last_modified file.mtime.httpdate
 309   attachment file.meta['Filename']
 310   response['Content-Length'] = "#{file.meta['Length']}"
 311   response['Content-Type'] = file.meta['Content-Type'] || 'application/octet-stream'
 312   throw :halt, [200, file]
 313 end
 314
 315 get '/:link' do |link|
 316   if link.include? '-'
 317     link, pass = link.split '-'
 318     not_found unless send_stored_file(link, pass)
 319   end
 320   not_found unless depot.file_exists? link
 321   haml :file_key
 322 end
 323
 324 post '/:link' do |link|
 325   pass = params[:file_key]
 326   403 unless send_stored_file(link, pass)
 327 end
 328
 329 helpers do
 330   def base_href
 331     url = request.scheme + "://"
 332     url << request.host
 333     if request.scheme == "https" && request.port != 443 ||
 334         request.scheme == "http" && request.port != 80
 335       url << ":#{request.port}"
 336     end
 337     url << request.script_name
 338     "#{url}/"
 339   end
 340 end
 341
 342 __END__
 343
 344 @@ layout
 345 %html
 346   %head
 347     %title coquelicot
 348     %base{ :href => base_href }
 349     %link{ :rel => 'stylesheet', :href => "style.css", :type => 'text/css',
 350            :media => "screen, projection" }
 351     %script{ :type => 'text/javascript', :src => 'javascripts/jquery.min.js' }
 352     %script{ :type => 'text/javascript', :src => 'javascripts/jquery.lightBoxFu.js' }
 353     %script{ :type => 'text/javascript', :src => 'javascripts/jquery.uploadProgress.js' }
 354     %script{ :type => 'text/javascript', :src => 'javascripts/coquelicot.js' }
 355   %body
 356     #container
 357       = yield
 358
 359 @@ index
 360 %h1 Upload!
 361 - unless @error.nil?
 362   .error= @error
 363 %form#upload{ :enctype => 'multipart/form-data',
 364               :action  => 'upload', :method => 'post' }
 365   .field
 366     %input{ :type => 'file', :name => 'file' }
 367   .field
 368     %input{ :type => 'submit', :value => 'Send file' }
 369
 370 @@ ready
 371 %h1 Pass this on!
 372 .url
 373   %a{ :href => @url }= @url
 374
 375 @@ file_key
 376 %h1 Enter file key…
 377 %form{ :action => @link, :method => 'post' }
 378   .field
 379     %input{ :type => 'file_key', :name => 'file_key' }
 380   .field
 381     %input{ :type => 'submit', :value => 'Get file' }
 382
 383 @@ style
 384 $green: #00ff26
 385
 386 body
 387   background-color: $green
 388   font-family: Georgia
 389   color: darkgreen
 390
 391 a, a:visited
 392   text-decoration: underline
 393   color: white
 394
 395 .error
 396   background-color: red
 397   color: white
 398   border: black solid 1px
 399
 400 #progress
 401   margin: 8px
 402   width: 220px
 403   height: 19px
 404
 405 #progressbar
 406   background: url('images/ajax-loader.gif') no-repeat
 407   width: 0px
 408   height: 19px