Tez-tez soruşulan suallar

• Bu sayt niyə zəif tərcümə olunur? ⎃
• Bu xidmət nə qədər etibarlıdır?
• Niyə burada bir mesajın şifrəsini açmaq üçün bir seçim aldım?
• Bu sayta göndərilən hər şeyi silirsən?
• Niyə bu xidmətdən istifadə edirsiniz?
• Bu mesajlaşma xidmətidir?
• Nəzərdə tutulan istifadə halları hansılardır?
• Bu xidmət nəyə görə istifadə edilməməlidir?
• Niyə yalnız PGP / Signal / OMEMO / Matrix / vb. İstifadə etmirik?
• Hansı tələblər var?
• Alıcı mesajın surətini çıxara bilərmi?
• Şəxsi məlumat toplanıb?
• Hansı məlumatlar qeyd olunur?
• Serverləri qorumaq üçün nə edirsiniz?
• Bu saytı istifadə edərkən hansı təhlükəsizlik riskləri mövcuddur?
• Ortada adam (MITM) hücumları ilə nə edirsən?
• Brauzer uzantıları hansı üstünlükləri təqdim edir?
• Göndərilən bir şeyin ucdan uca şifrələndiyini necə dəqiq bilə bilərəm?
• Bu saytda uçtan uca şifrələmə necə işləyir?
• Şifrə şifrəsi URL-də ola bilər?
• Ancaq şifrəni açma parolunun URL -də olması lazım deyil?
• Bu xidmət linki alıcıya çatdırmır?
• Bu xidmətdən istifadə edərkən məxfiliyimi mümkün qədər necə qoruya bilərəm?
• ABŞ-a etibar etmirəmsə nə olar?
• Spamın qarşısını almaq üçün nə edirsiniz?
• Niyə alıcının CAPTCHA-nı doldurmasını tələb etməsi üçün bir seçim var?
• Bu xidməti kim idarə edir və niyə pulsuzdur?
• Yuxarıdakı sualların cavablarına necə etibar edə bilərəm?

Bu sayt niyə zəif tərcümə olunur? ⎃

Üzr istəyirik, lakin hazırkı müəlliflər yalnız ingilis dilində danışırlar. Bu layihənin digər dillərə tərcümə olunmasına ehtiyacımız var. Bu xidməti ingilis dilini bilməyən insanlara təqdim etmək üçün sadə və ucuz bir vasitə olaraq maşın tərcüməsindən istifadə edirik. Nəticələr ümumiyyətlə məqbuldur, lakin qəribə ifadələr və ya hətta tamamilə səhv məlumatlarla nəticələnə bilər. Hər kəs üçün təcrübəmizi yaxşılaşdırmağa kömək edə bilərsiniz - xahiş edirəm düzgün tərcüməni təqdim edin .

Bu xidmət nə qədər etibarlıdır?

Bu xidmətin təyinatı üzrə təhlükəsiz olması üçün bir çox addım atdıq. Bu addımları keçmədən əvvəl aşağıdakıları başa düşmək vacibdir:

• Uçtan uca şifrələmə səbəbindən mesajınızı oxuya bilməsək də , yaradılan standart link şifrə / şifrəni ehtiva edir ; və buna görə də, linkə sahib olan hər kəs mesajınızı oxuya bilər - onu ələ keçirə bilən hər kəs daxil olmaqla.
• Bu xidmət, daha qalıcı olan ənənəvi nəqliyyat vasitələri (yəni e-poçt / mətn / ani mesajlaşma / veb sayt / və s.) Vasitəsi ilə daha az qalıcı rabitə göndərilməsinə imkan verən bir vasitədir (yəni axtarış zamanı silinən şifrəli mesajlar). Bu o deməkdir ki , seçilmiş nəqliyyata xas olan hər hansı bir təhlükəsizlik / məxfilik məsələsi (yəni e-poçt) bu aləti istifadə edərkən miras qalır .
• İhtiyaçlarınıza və mühitinizə görə daha yaxşı təhlükəsizlik təklif edən digər həllər mövcuddur. Bu xidmətin digərləri ilə müqayisədə təklif etdiyi əsas üstünlük , alıcı üçün daha aşağı tələblərdir (yəni bir veb brauzerə və bir linki vurma qabiliyyətinə ehtiyac duyurlar).
• Varsayılan ayar, mesajları alındıqdan sonra silmək olsa da , alıcının bir nüsxə çıxarmasına mane olacaq bir şey yoxdur . Unutmayın ki, bu, bütün müvəqqəti mesaj həllərinə aiddir - alıcı mesajı görə bilirsə, kopyalana bilər.
• Bütün İnternet rabitələri məxfiliyinizi poza bilər - rahatlıq üçün biraz təhlükəsizliklə məşğul olursunuz.
• Bəzi təməl məsələlərə görə təhlükəsizlik məsələsində veb çətin bir mühitdir - bu, bütün veb saytlara aiddir. Bununla birlikdə veb əsaslı olmağınız, mesajınızı oxuya bilməyəcəyimiz iddiamızı doğrulamağa kömək edir.
• Bu veb sayt və verilənlər bazası ABŞ-da yerləşdirilib. ABŞ-da yerləşən Cloudflare şirkətini, məzmun çatdırılma şəbəkəmiz kimi istifadə edirik (bütün veb trafik bu şəbəkədən keçir).

Məqsədimiz bu xidməti məxfiliyinizi və təhlükəsizliyinizi artırmaq üçün seçimlər təklif edəcək şəkildə təqdim etməkdir. Məlumatlarınızı qorumaq üçün atdığımız bəzi addımlar:

• Xidmətdən istifadə etmək üçün hər hansı bir şəxsi məlumat (yəni ad / e-poçt / telefon / və s.) Tələb olunmur. Hesab sistemi yoxdur (yəni giriş / parol / və s.); bu səbəbdən hər hansı bir məlumat pozuntusu bu məlumatı sızdırmaz.
• Bütün mesaj məzmunu uçtan uca şifrələnir . Başqa sözlə, şifrə çözmə açarı / şifrə bizə heç vaxt göndərilmir. Bu səbəbdən, ya da verilənlər bazasına sahib olan hər kəsin mesajın məzmununun şifrəsini açmaq və görüntüləmək üçün bir vasitəmiz yoxdur.
• Verilənlər bazamızdakı hər girişin 1 dəqiqədən 2 həftəyə qədər dəyişmə müddəti var (standart olaraq 1 həftəyə qədər). Bu vaxt keçdikdən sonra qeyd avtomatik olaraq silinir. Buna görə məlumat bazamızdakı hər hansı bir məlumat yaradıldıqdan qısa müddət sonra silinəcəkdir .
• Yalnız son 24 saatlıq veb server qeydlərini aparırıq . Verilənlər bazasında saxlanılan hər hansı bir IP məlumatı təhlükəsiz şəkildə qarışdırılıb orijinal IP-nin çıxarılmasını mümkünsüz edir.
• Bu xidməti gücləndirən bütün kodlar açıq mənbəlidir və nəzərdən keçirilə bilər. Şifrələməni işləyən kodu məqsədli şəkildə qısa, qısa və şərhli şəkildə asanlıqla görə bilərsiniz.
• Təhlükəsizliyin gücləndirilməsinə kömək etmək üçün bir sıra texniki tədbirlər görülür - bunlardan bəzilərinə aşağıdakılar daxildir:
  • / Api xaricindəki bütün bu veb sayt statikdir və səhifələrdə server kodunu dəstəkləmir (yəni PHP / JSP / ASP / vs.).
  • Brauzerin bir hissəsi olan Veb Kripto API , bütün mesaj məzmununu şifrələmək üçün istifadə olunur.
  • TLS brauzerinizlə serverlərimiz arasındakı rabitəni şifrələmək üçün istifadə olunur. Kodun ötürülməsində ələ keçirilməməsi və ya dəyişdirilə bilməməsinə kömək edir. TLS 1.3 dəstəklənir, lakin köhnə cihazlar üçün TLS 1.2-i də dəstəkləyirik. TLS-in köhnə versiyaları o qədər də etibarlı olmadığı üçün deaktiv edilmişdir.
  • Sertifikat Şəffaflığı qeydləri sertifikat səhvləri üçün izlənilir. Əlavə olaraq, istənməyən və ya zərərli sertifikat səhvlərini azaltmaq üçün Sertifikat Təşkilatı Səlahiyyət (CAA) siyasətini yayımlayırıq.
  • Brauzerlərin hər zaman TLS protokolundan istifadə edərək serverlərimizlə əlaqə qurmasını təmin etmək üçün HTTP Strict Transport Security (HSTS) istifadə edirik. Əlavə olaraq domenlərimizi ön yükləmə siyahılarına daxil edirik.
  • Saytlararası Ssenarilər (XSS) hücumlarının qarşısını almaq üçün ciddi bir Məzmun Təhlükəsizliyi Siyasəti tətbiq olunur.
  • Çapraz mənşəli Qaynaq Siyasəti , Çapraz Mənşəli Yerləşdirmə Siyasəti və Çapraz Mənşəli Açıcı Siyasətdən istifadə edərək , Spectre və Meltdown kimi spekulyativ yan kanal hücumlarına qarşı təsirini azaltmaq üçün çapraz mənşəli kodu qadağan edirik. Bu ayrıca tarama kontekstini yalnız eyni mənşəli sənədlərə ayıraraq digər mənşəli potensial zərərli istəklərdən qorunma təklif edir.
  • Brauzerin məkanınız, veb-kameranız, mikrofonunuz və s. Kimi məxfiliyinizi poza biləcək mənbələri yükləməsinin qarşısını almaq üçün İcazə Siyasətindən istifadə edirik.
  • DNSSEC , DNS əsaslı MITM hücumlarını azaltmağa kömək etmək üçün bütün etki alanlarımızda istifadə olunur.
  • Serverin təhlükəsizliyini təmin etmək üçün bir sıra tədbirlər görürük.
  • Heç bir üçüncü tərəf kodu yüklənmir (yəni jQuery) və çox az qaynaq yüklənir (davam edin və yoxlamaq üçün Dev Tools'da Şəbəkə nişanını açın) - bu yoxlamaq üçün tələb olunan səyi minimuma endirir. Bir istisna, bir CAPTCHA tələb olunarsa - üçüncü tərəf kodunu hCaptcha-dan yükləyən bir şeydir . Bununla birlikdə, hCaptcha kodu öz URL-də öz CSP qaydaları daxilində yüklənir və heç vaxt bir mesajla əlaqəli bir şey əldə edə bilməz.
  • MITM hücumlarına qarşı təhlükəsiz qorunmağa kömək edən vasitə olaraq brauzer uzantıları mövcuddur .

Niyə burada bir mesajın şifrəsini açmaq üçün bir seçim aldım?

Bu tərcümədə səhvlər varsa üzr istəyirik. Bu xidmət sadəcə bir nöqtədən digərinə şifrələnmiş bir mesaj ötürür və siz alıcısınız. Mesaj tezliklə silinəcəkdir. Bu xidmətin operatorlarının mesajın məzmununu oxumaq üçün bir yolu yoxdur. Ümumiyyətlə kimsə bir mesajın məzmununun müxtəlif verilənlər bazaları / cihazlar / xidmətlər / fayllar / s içində qalmasını istəmədikdə bu xidmətdən istifadə edir. e-poçt / ani mesaj / mətn / s göndərdikdə tipikdir. Şifrəni açmaq qərarına gəlsəniz, xahiş edirəm aşağıdakıları nəzərə alın:

• Çox güman ki, mesaj şifrənizi açmaq üçün cihazınıza göndərildikdən dərhal sonra silinəcəkdir. Bu o deməkdir ki, mesajın şifrəsini açmaq üçün düyməni vurduqdan sonra, sizə daha sonra yenidən göndərmək üçün bir nüsxə qalmayıb.
• Alınan bütün məlumatları sistematik olaraq silirik. Mesajlar yaradıldıqdan sonra bir dəqiqədən iki həftəyə qədər hər yerdə silinəcək - mesajın şifrəsinin açılmasından asılı olmayaraq. Başqa sözlə, mesajı oxumağınıza ehtiyac varsa, şifrəsini açmaq üçün çox gözləməyin.
• Göndərən çox güman ki, mesajın məzmununa diqqətlə yanaşılmalıdır. Hətta heç bir nüsxə çıxarmaq istəmədiklərini bildirmiş ola bilərlər. Xahiş edirəm onların istəklərinə hörmət edin.
• Bir mesajın şifrəsini açmaq üçün bir parol istənirsə, brauzer pəncərəsini / nişanını bağlamayın. Bu siyahıda ilk güllə nöqtəsinə görə, ehtimal ki, daha sonra başqa bir nüsxə göndərə bilmərik. Şifrəni daxil edə bilənə qədər brauzer pəncərəsini / sekmesini açıq qoyun. Yanlış bir parol daxil etsəniz, yenidən soruşulacaqsınız. Şifrə dəqiq daxil edilməlidir. Unutmayın ki, fərqli dillərə və parol tələblərinə cavab vermək üçün parollarda bir çox fərqli simvol qəbul edirik.

Bu sayta göndərilən hər şeyi silirsən?

Zibil qutusu loqosuna uyğun ... hər şey aldıqdan bir müddət sonra silinir. Hər şeyin silinməsi avtomatlaşdırılmışdır - serverə yazılmışdır. Bu şəkildə düşünün - təqdim olunan iki məlumat sinfi var:

• Məzmunun şifrəsini açmaq üçün bir vasitəmiz olmadığı şifrəli mesajlar
• Vebdə bir şey təqdim etmək üçün xas olan digər məlumatlar (yəni IP ünvanınız və s.)

Mesajlara gəldikdə, bunları göstərərək sildiklərimizə nəzarət edə bilərsiniz:

• Heç kim almasa mesajı nə qədər saxlamalıyıq (1 dəqiqədən 2 həftəyə qədər - defolt hallar 1 həftəyə qədər).
• Mesaj neçə dəfə alınır (1-dən 100-ə qədər - defoltlar 1 dəfə)

Varsayılan olaraq, mesajla əlaqəli hər şey bir dəfə alındıqdan və ya 1 həftəlik olduqdan sonra silinir - əvvəlcə hansı olur. Vebdə hər hansı bir məlumat göndərməyə xas olan bütün digər məlumatların (yəni IP adresinizin və s.) Silinməsinə gəldikdə, nə zaman və necə silinməsinə nəzarət etmirik - hamısını hər 24 saatdan bir silirik. .

Niyə bu xidmətdən istifadə edirsiniz?

Bu xidmət, göndərdiyiniz / aldığınız mesajları daha az qalıcı hala gətirməyə kömək edəcək bir vasitədir. İnternetdə ünsiyyət qurduğunuz şeylərin çoxu (söhbətlər, mətnlər, e-poçtlar və s.) Saxlanılır və nadir hallarda silinir. Çox vaxt, bir şeyi sildikdə, əslində silinmir, əksinə silinmiş kimi qeyd olunur və artıq sizə göstərilmir. Ümumi məlumatlarınız verilənlər bazalarında və nəzarət edə bilmədiyiniz cihazlarda ildən-ilə yığılır. Qaçılmaz olaraq, ünsiyyətlərinizi saxlayan təşkilatlardan / şəxslərdən / cihazlardan biri və ya daha çoxu hücuma məruz qalır və məlumatlarınız sızdırılır. Bu problem o qədər geniş yayılmışdır ki, təhlükəli və istifadəçi məlumatlarını sızdıran təşkilatları izləyən bir çox veb sayt var. Uçtan uca şifrələnmiş müvəqqəti mesajlar, bəzi ünsiyyətlərinizi daha az qalıcı hala gətirməyə kömək edəcək sadə bir həlldir. Bu sayta göndərilən hər mesajın yaşamaq müddəti 1 dəqiqədən 2 həftəyə qədərdir - vaxt keçdikdən sonra mesaj silinir. Bundan əlavə, varsayılan parametr, alıcı onu götürdükdən sonra hər hansı bir mesajı silməkdir. Əlavə olaraq, bütün mesajlar cihazınızdan alıcının cihazına qədər şifrələnir. Uçtan uca şifrələmədən istifadə etməkdə əsas məqsəd təqdim olunan mesajları oxumaq qabiliyyətimizi aradan qaldırmaq və bununla da bəzi etibar şərtlərini aradan qaldırmaqdır. Nəticə budur ki, sadə bir keçid vasitəsilə şifrəli bir mesaj göndərmək asandır. Bu mesaj göndərildikdən qısa müddət sonra və ya əldə edildikdən sonra silinir. Xüsusi bir proqramı quraşdırmanız / qurmanız lazım deyil. Hesab yaratmaq və ya hər hansı bir şəxsi məlumat vermək məcburiyyətində deyilsiniz. Alıcının əlaqələrinizdə olması və hətta bu xidmət barədə məlumatları olması məcburiyyətində deyil - bir linki tıklaya biləcəkləri yeganə şərt.

Bu mesajlaşma xidmətidir?

Xeyr. Bu xidmət ani mesajlaşma / e-poçt / mətn / vs. kimi mövcud mesajlaşma xidmətlərini tamamlamaq üçün hazırlanmışdır. göndərilən mesajların uzun müddət saxlanılmasının qarşısını almaq imkanı əlavə etmək. Yaradılan linki alıcıya çatdırmırıq .

Nəzərdə tutulan istifadə halları hansılardır?

Bəs bu xidmətdən istifadənin uyğun olduğu bəzi ssenarilər hansılardır? Gizliliyi və təhlükəsizliyindən danışarkən hər kəsin fərqli ehtiyac və tələbləri olsa da, şəxsən mən aşağıdakı ssenariləri uyğun istifadə halları kimi tapdım:

• Bölgədəki dağ velosiped yolları haqqında yerli veb forum vasitəsilə əlaqə saxlayırsınız və bəzən forumda insanlarla görüşərək yeni yolları birlikdə araşdırırsınız. Forumdan kimsə sizi bu həftəsonu cığırda gəzmək üçün yerinizdə almaq istəyir. Ev ünvanınızın bu veb sayt forum bazasında əbədi oturmasını istəmirsiniz. Sadəcə ünvanı bu xidmət vasitəsi ilə göndərin - link veb sayt forum verilənlər bazasında olan şeydir, lakin alıcı tərəfindən oxunduqdan sonra mesaj / ünvan silinir.
• Qardaşınıza Netflix girişinizi göndərməlisiniz, çünki qardaşınız COVID kilidlənməsi səbəbiylə onu dəli edir və hələ də öz hesabına sahib deyil. Bu giriş haqqında çox maraqlanmırsınız, ancaq qardaşınız "rəqəmsal gigiyena" adlandıracağım məsələdə xüsusilə pisdir və güzəştli girişlər və zərərli proqramlarla bir çox sınaq keçirmişdir. Sonrakı hərəkətlərini təmizləməsini istəməsi və hətta onun üçün etibarlı mesajlaşma qurmağı bacarmadı. Sadəcə mətn mesajı ilə göndərmək yəqin ki, ən yaxşı seçimdir (təəssüf ki), ancaq keçmiş təcrübəyə görə giriş tarixinin mesaj tarixçəsinə oturdulmasından narahatsan. Mətn mesajında bir keçid vasitəsilə giriş göndərmək üçün bu xidmətdən istifadə edərək giriş tarixinin söhbət tarixində əbədi qalmasına icazə verməyin.
• Bəzən hər saat gəlib-gedən bir çox icarəçinin olduğu bir ofisdə işləyirsiniz. İstifadə üçün WiFi mövcuddur, lakin sui-istifadə ilə əlaqədar problemlər olduğundan şifrə hər həftə dönər. Bir çox kirayəçi ön masada olmasına baxmayaraq WiFi şifrəsini istəyən e-poçt / mətn göndərir, çünki əksəriyyəti ön əsas girişdən daxil olmur. Bu xidmətdən istifadə edərək ofis meneceri WiFi parolunu bir e-poçt / mətn cavabındakı bir keçid vasitəsi ilə göndərə bilər, parolun gecikməməsini təmin edir və eyni zamanda alıcıya mobil cihazlarda daha az bacarıqsız olan bir kopyalama düyməsinə dərhal parol köçürməyə imkan verir.
• Hostinq provayderlərinizdən biri, pis getdiyi görünən bir sabit diskin əlamətlərini göstərdiyini bildirdiyiniz bir server haqqında təfərrüat istəmir. Ehtiyac duyduqları bəzi məlumatlar bir az həssasdır - istifadə etdikləri üçüncü tərəf bilet sistemində əbədi oturmasını istəmirsiniz. Bu xidmətdən istifadə edərək məlumatları bilet sistemində qalmadan dəstək texniklərinə göndərə bilərsiniz. Bir çox texniki mütəxəssis məlumatları bir neçə dəfə nəzərdən keçirməli ola biləcəyi üçün, ilk oxunuşda mesaj silinməməsi üçün canlı oxunuşları 1-dən çox (yəni bəlkə də 20) qoyun.
• Telefon nömrənizi sizə bildirə bilməsi üçün Reddit-də başqa bir istifadəçiyə xüsusi mesaj göndərməlisiniz. Reddit, bir çox digər provayderlər kimi, keçmişdə də istifadəçi məlumatlarını sızdırdı və növbəti nömrəyə qədər telefon nömrənizi illərlə Reddit verilənlər bazasında oturmasını istəmirsiniz. Sadəcə bu xidmət vasitəsilə telefon nömrənizi göndərin.
• Həyat yoldaşınız iş yerində olduğunuz zaman sizə kommunal giriş istəyərək mesaj göndərir, çünki rəfiqəsi pulunu elektrik enerjisinə saxlayan yeni bir proqramı sınadı və onu yoxlamaq istəyir. Ona xatırlatdığınız paylaşılan bir ailə parol meneceri var, ancaq girişini göndərməyinizi istəyir. OMEMO, həyat yoldaşınızla ani mesajlaşma üçün işləyir və bu səbəbdən mesajların daşınmasının etibarlı olduğuna inanırsınız; Bununla birlikdə, söhbət tarixçəsinin özü şifrəsiz saxlanılır. Həyat yoldaşınız yükləmələr, e-poçtlar və s. Mövzusunda həmişə ehtiyatlı olmur və kommunal xərclər bir az həssasdır, çünki yaşayış yerlərini təsdiqləmək üçün şəxsiyyət oğurluğu üçün istifadə edilə bilər. Bir nüsxənin kompüterində saxlanmasının qarşısını almaq üçün bu xidmətdən istifadə edərək giriş məlumatlarını ona göndərə bilərsiniz.

Bu xidmət nəyə görə istifadə edilməməlidir?

Bu SSS-də izah edilən bütün səbəblərdən bu xidmət çox həssas məlumatlar üçün istifadə edilməməlidir. Aşağıda nələrin edilməməsinə dair bəzi nümunələr verilmişdir:

• Uyğun olmayan bir mesaj daşınmasını "daha etibarlı" etmək üçün bu xidmətdən istifadə etməyin. Varsayılan ayar mesajı oxuya biləcək URL-yə daxil etmək olduğundan, əlaqəsi olan hər kəs mesajı oxuya bilər. Yuxarıda qeyd edildiyi kimi, seçilmiş nəqliyyata xas olan hər hansı bir təhlükəsizlik / məxfilik məsələsi (yəni mətn) bu aləti istifadə edərkən miras qalır. Buna görə, məsələn, həssas olması səbəbindən konkret məlumat göndərmək üçün e-poçtdan istifadə etməyi heç düşünməsəniz, bu xidmətdən e-poçtun həmin hissəsini "qorumaq" üçün istifadə etməməlisiniz.
• Mesajın surətinin çıxarılmadığından əmin olmaq üçün bu xidmətdən istifadə etməyin. Şifrələnmiş mesajın surətini dərhal götürdükdən sonra silməyimiz və kopyalanmasını daha da çətinləşdirməyimiz, mesajın kopyalana bilməməsi demək deyil. Alıcı öz ekranının fotoşəkilini çəksə nə olar? Yalnız mesajı yazsalar? Nəticədə, alıcı mesajı oxuya bilirsə - surəti çıxarıla bilər.
• Bir mesajın sizə çatmadığından əmin olmaq üçün bu xidmətdən istifadə etməyin. Bu xidmət, mesajı bir nöqtədən digərinə çatdırmaq üçün başqa bir mesaj ötürmə provayderinə (yəni e-poçt, söhbət və s.) Bağlıdır. İşlədilən mesaj nəqli mesajı sizə geri qaytara bilər.
• Göndərməni rədd etmək istədiyiniz bir şeyi göndərmək üçün bu xidmətdən istifadə etməyin. Mesajın özünün silinməsi, silinmiş mesajı göstərən linkin silinməsi demək deyil. Dostunuza bir e-poçt göndərirsinizsə və bu e-poçtun bir hissəsində bu xidmətdən gələn bir mesajın bağlantısı varsa, təsadüfi bir oxucu mesajda başqa bir şey olduğunu biləcək. Bağlantıda göstərilən mesaj çoxdan itmiş olsa da - başqa bir şeyin göndərildiyi və sizin tərəfinizdən dostunuza göndərildiyi aydındır.

Niyə yalnız PGP / Signal / OMEMO / Matrix / vb. İstifadə etmirik?

Təhlükəsiz müvəqqəti mesajlar göndərmək istədiyiniz şəxsi tanıyırsınızsa, onları tez-tez göndərirsiniz, söhbətə bənzər bir interfeys gözləyirsiniz və / və ya alıcının lazımlı proqram təminatına sahib olmasını və ondan necə istifadə edəcəyini biləcəyini bilirsinizsə, bu veb sayt yəqin ki, ən yaxşı həll. Orada açıq mənbəli, veb əsaslı deyil, E2EE-yə dəstək verən və hətta müvəqqəti mesajları dəstəkləyən Siqnal kimi əla seçimlər var. Şəxsən yaxın dostları və ailəsi ilə söhbət etmək üçün xüsusi bir XMMP serverindən və OMEMO-dan istifadə edirəm. Bu saytdan istifadə yalnız alıcının hansı proqramı işlədiyini bilmirsinizsə, telefon nömrəsini / əlaqə qulpunu bilmirsinizsə, texniki biliklərini bilmirsinizsə (ancaq bir linki tıklaya biləcəyini düşünsəniz) optimal ola bilər. ya da göndərdiyiniz mesajı əsas rabitə nəqliyyatının xaricində saxlamağı üstün tutursunuz.

Hansı tələblər var?

Veb Kripto API daxil olmaqla standartları düzgün bir şəkildə tətbiq edən müasir və müasir bir veb brauzer tələb olunur. Nümunələr bunlardır: Chrome, Firefox, Edge və Safari (təxminən 2020 və ya sonrası).

Alıcı mesajın surətini çıxara bilərmi?

Bəli. Mesaj alındıqdan sonra özünü silə bilsə də, alıcı mesajı görə bilər. Qəbul edən hər zaman mesajı tamamilə görə bilər, surəti çıxarıla bilər - bu, bütün rabitə əlaqələrinə aiddir. Alıcının bir nüsxə çıxarmasını çətinləşdirmək üçün bir seçim var. Bu halda kopyalamaq üçün üç maneə tətbiq olunur:

• Kopyala düyməsi silinir. Bu düymə, alıcıya mesajın hamısını panosuna kopyalamaq üçün icazə verir.
• Yükləmə düyməsi silinir. Bu düymə, qəbuledicinin mesajı mətn faylı kimi yükləməsinə imkan verir.
• Mesaj mətn qutusunun içərisində mətn seçmək imkanı silinir.

Lakin, bu nüsxə qorunmaları zəifdir, çünki onları atlamaq olar. Ayrıca, alıcı həmişə mesajın ekran görüntüsünü və ya fotoşəkilini çəkə bilər.

Şəxsi məlumat toplanıb?

İstifadəçi hesablarını dəstəkləmirik (yəni istifadəçi adı / parol). Sizi tanıyacaq heç bir məlumat toplamırıq (yəni ad / ünvan / e-poçt / telefon). Göndərdiyiniz mesajda bəzi şəxsi məlumatlar ola bilər, ancaq şifrələnir və oxumağımız yoxdur. Xahiş olunur tam məlumat üçün məxfilik siyasətimizi nəzərdən keçirin.

Hansı məlumatlar qeyd olunur?

Veb serverimiz bütün veb fəaliyyətlərində 24 saata qədər ümumi qeyd formatını saxlayır. Buraya HTTP müştərilərinin tam IP ünvanının qeyd edilməsi daxildir. 24 saatdan sonra bu qeyd edilmiş məlumat avtomatik olaraq silinir. / Api-yə göndərilən bütün istəklər POST-a göndərilir, yəni veb server tərəfindən heç bir mesaja aid məlumat daxil edilmir. Bundan əlavə, verilənlər bazasına qeyd olunan hər hansı bir məlumat effektiv şəkildə qeyd olunur. Anonim və zibil IP ünvanları daxil olmaqla verilənlər bazasındakı bütün girişlərin sona çatma müddəti (TTL) var, sonra avtomatik silinir. TTL bitmə vaxtları 1 dəqiqə ilə 2 həftə arasında dəyişir.

Serverləri qorumaq üçün nə edirsiniz?

Server təhlükəsizliyi açıq bir narahatlıqdır. Təhlükəsizliyini qorumaq üçün diqqət yetirdiyimiz iki əsas sahə var:

• Birincisi, mümkün olan ən az vaxt üçün mümkün qədər az saxlayırıq ki, server heç bir zaman təhlükəyə məruz qalsa, hər hansı bir məlumat sızıntısı istifadəçilərimizə zərər verməyəcəkdir. Verilənlər bazasında saxlanılan bütün mesajların şifrəsini açmaq üçün heç bir vasitə olmadan şifrələnir. İstifadəçilərimizdən hər hansı bir şəxsi məlumat toplamadığımızdan istifadəçilərimizə hər hansı bir mesajı bağlayan heç bir şey yoxdur. Verilənlər bazasındakı bütün qeydlərin bitmə müddəti (TTL) 1 dəqiqədən 2 həftəyə qədərdir - bu müddət keçdikdən sonra qeyd avtomatik silinir. Buna görə, indiyə qədər verilənlər bazasında olan məlumatların böyük əksəriyyəti çoxdan çox əvvəl silinmişdir.
• Güzəştlərin qarşısını almaq və baş verən hər hansı bir güzəşti ehtiva etmək üçün bir sıra tədbirlər görürük:
  • Veb server, nginx , ayrılmış bir konteynerdə qeydlərdən başqa heç bir şeyə yazılı giriş imkanı olmayan, imtiyazsız bir istifadəçi kimi işləyir. Konteyner öz SELinux kontekstində işləyir, bundan əlavə hər hansı bir fayl sistemi dəyişməsinin və ya konteynerdən asanlıqla qaçmağın qarşısını alır. PHP / ASP / JSP / etc üçün dəstək yoxdur. - yalnız statik mənbələrə xidmət etmək.
  • Çalışan / api kodu Go-da yazılmışdır ki, bu da bufer daşqını zəifliklərinə (ümumi hücum vektoru) kifayət qədər davamlı olmalıdır. Go prosesi ayrıca verilənlər bazasından başqa heç bir şeyə yazılı giriş imkanı olmayan bir istifadəçi olaraq təcrid olunmuş bir konteynerdə işləyir. Konteyner öz SELinux kontekstində işləyir, bundan əlavə hər hansı bir fayl sistemi dəyişməsinin və ya konteynerdən asanlıqla qaçmağın qarşısını alır. Verilənlər bazası, badgerdb , Go prosesinin bir hissəsidir (xarici verilənlər bazası asılılığı / prosesi yoxdur).
  • Bir server güzəştinin əsas təhlükəsi, təcavüzkarın faylları istifadəçilərimizin məxfiliyinə / təhlükəsizliyinə xələl gətirəcək şəkildə dəyişdirməsidir. Xüsusi bir müddət bütün veb sayt fayllarını dəyişikliklər üçün izləyir və dəyişiklik olduqda dərhal bizə xəbərdarlıq edir.
  • Bütün inzibati girişlər qorunur və səlahiyyətli şəbəkələrlə məhdudlaşır.

Bu saytı istifadə edərkən hansı təhlükəsizlik riskləri mövcuddur?

Bu risklərdən bəzilərini xüsusi olaraq həll etməzdən əvvəl yarı qisa bir bənzətmənin hər hansı bir İnternet rabitəsindən istifadə zamanı riskləri ümumiləşdirməyə kömək edə biləcəyini düşünürəm. Hər hansı bir sistemin yalnız bir zəncirin ən zəif hissəsi kimi təhlükəsiz olduğunu əyani şəkildə göstərin. İndi möhürlənmiş bir otaqda gördükləri, eşitmədikləri və qeyd etdikləri heç bir vasitəsi olmayan iki nəfər olduğu bir ssenari təsəvvür edin. Biri mesajı oxuduqdan sonra yandıracaq olan digərinə bir mesaj ötürəcəkdir. O otaqdan kənarda olan biri onsuz da ötürülmüş mesajı almaq istəsə, bu çətin olacaq. Mesajı əldə etmək üçün ən zəif əlaqə nədir? Seçmək üçün o qədər çox əlaqə yoxdur - olduqca qısa bir zəncirdir. İndi təsəvvür edin ki, İnternetdə bir mesaj göndərdiyiniz zaman zəncirdə ən azı bir milyon əlaqə var - bir çoxu zəifdir - bir çoxu tamamilə sizin nəzarətinizdən kənarda qalır və bu həqiqətdir.

Şifrələmədən istifadə yuxarıdakı milyon əlaqə problemi ilə yaxşı kömək edə bilər və yaxşı dizayn edilmiş E2EE sistemlərinin hamısını həll etdiyini düşünməyə cəlbedir. Bununla birlikdə, bu düşüncə sizi çətinliyə sala bilər, çünki təcavüzkar ümumiyyətlə sistemdəki zəif əlaqələrdən sonra gedəcəkdir. Məsələn, telefonunuzu və ya kompüterinizi ələ keçirmək və yazdığınız hər şeyi oxumaq üçün giriş qeydiyyatçını qurmaq, şifrələnmiş mesajları telin üstündən sındırmaqdan daha asandır. Xülasə budur ki, həyati / kritik əhəmiyyətə malik bir sirr haqqında məlumat vermək mənə tapşırılsaydı, yalnız son müraciət metodu olaraq elektron rabitədən istifadə edərdim.

Beləliklə, hər hansı bir rabitədən istifadə etmək üçün təhlükəsizlik riskləri var, ancaq bankçılıq, əşyalar almaq, e-poçt almaq üçün bir veb brauzer istifadə edirsiniz. Qazanılmış böyük rahatlıqlar üçün qəbul edilmiş bir riskdir. Həqiqətən sual budur ... bu sayt üçün hansı təhlükəsizlik riskləri yarı spesifikdir? Bir neçəsi ağıla gəlir:

• Bəlkə də bu xidmət üçün ən böyük risk və ən unikal olanı, istifadəçilərimizin göndərmək üçün uyğun olanı və göndərmək üçün uyğun olmayan şeyləri ayırd edərkən yaxşı mühakimədən istifadə etməmələridir. Bəzən "Bu məlumatları e-poçtla göndərməyim rahatdır - kaş ki e-poçtu oxuduqdan sonra silinsin" və "Bu məlumatları e-poçtla göndərməyim rahat deyil - e-poçt uyğunsuz bir nəqliyyatdır" arasındakı fərq olduqca incə ola bilər.
• Bu saytın operatorlarının əslində pis qaranlıq məqsəd əldə etmək üçün insanları xidmətdən istifadə etməyə təhrik edən pis aktyorlar olması təhdidi həmişə var. İnanılmaz dərəcədə etibarlı bir şəkildə rastlaşırıq - hər şeyi asanlaşdırın və pulsuz edin - çox sayda insandan xidmətdən istifadə edin - bu vaxt da pis niyyətlə. Bwahahahaha! Bizə necə güvənə bilərsən?
• Kodumuzun təhlükəsizliyi təsir edən səhvləri olması və ya hər şeyi yaxşı düşünmədiyimiz və çatışmazlıqlarımızın indi istifadəçilərimizi lazımsız təhlükəyə məruz qoyması ehtimalı var. Əminik ki, ümid etmirəm - amma istisna edə bilmərik.
• Xüsusi rabitənin digər trafiklə qarışıqlığının asan olduğu nəhəng şəbəkələrinə daima daxil olan və xaricində axan şifrəli məlumatların terabitlərinə sahib olan texnoloji titanlardan (yəni Google / Facebook / Whatsapp) fərqli olaraq mərkəzləşdirilmiş xidmətlər (yəni Siqnal, Telegram və biz) diqqət çəkirik. Bir şəbəkə operatoru və ya hətta böyük bir təşkilat / hökumət üçün xxxx IP ünvanının XYZ xidmətindən istifadə etdiyini görmək asandır.
• Bu sayt üçün həqiqətən spesifik olmasa da, hər hansı bir veb sayta qarşı istifadə edilə bildiyindən, ortada adam (MITM) hücumları etibarlı bir narahatlıq doğurur .

Ortada adam (MITM) hücumları ilə nə edirsən?

Bütün veb saytların istifadəçiləri potensial olaraq bir MITM hücumunun qurbanı ola bilərlər - bu sayt bu baxımdan vebdəki bütün digərlərindən fərqlənmir. MITM hücumu , təcavüzkarın istifadəçinin brauzeri ilə saytın veb-server arasındakı rabitəni kəsə və dəyişdirə bilməsi. Bu, təcavüzkarın saytın hər hansı bir kodunu / məzmununun dəyişdirilməsinə imkan verir ki, hələ də son istifadəçi adət etdikləri sayt kimi görünsün. MITM hücumunu çətinləşdirmək üçün bəzi tədbirlər görürük:

• HSTS brauzerləri yalnız TLS vasitəsi ilə qoşulmağa məcbur etmək üçün istifadə olunur. Bizim server yönləndirmək əvəzinə TLS olmayan rabitəni görməməzlikdən gəlmir. Yalnız TLS 1.2 və ya daha yüksək dəstəklənir.
• DNSSEC, domenimizin zonasını imzalamaq üçün istifadə olunur. İstifadəçi bir DNSSEC xəbərdar rekursiv həlli istifadə edərsə, bu, DNS saxtakarlığını həyata keçirən MITM hücumlarını dayandıra bilər.
• Domenimizə istinad edən icazəsiz TLS sertifikatları verən sertifikat orqanlarını izləmək üçün bir xidmətdən istifadə edirik.
• Son istifadəçinin cihazında saxlanan kodlardan istifadə edərək mesaj şifrələməsini dəstəkləmək üçün brauzer uzantılarını yayımladıq.

Bununla birlikdə, bir MITM hücumu hələ də həmişə mümkündür - xüsusən təcavüzkar şəbəkə / ictimai əsaslı infrastruktura nəzarət etsə, böyük / güclü təşkilatlar və ya hökumətlər üçün olduğu kimi. Bəzi MITM risklərini azaltmağa kömək edə biləcək brauzer uzantıları təklif edirik.

Brauzer uzantıları hansı üstünlükləri təqdim edir?

Əlavə rahatlıq və əlavə təhlükəsizlik təmin etmək üçün vasitə olaraq brauzer uzantılarını təklif edirik. Sadəcə olaraq ... Uzantılar müvəqqəti mesajların göndərilməsini daha sürətli və asanlaşdırır. Şifrələmək və mesaj hazırlamaq üçün istifadə olunan bütün kodlar uzantı daxilində yerli olaraq saxlanıldığı üçün bəzi təhlükəsizliklər də əldə edilir. Kod yerli olaraq saxlanıldığı üçün göndərənə MITM hücumlarına qarşı bir qədər qorunma imkanı təqdim edir. Bununla birlikdə, uzantıların mesaj məzmununa xələl gətirən bir MITM hücumuna qarşı daha çox qoruma təklif etdiyinə baxmayaraq, bir MITM hücumunun hələ də təsirli ola biləcəyinə diqqət çəkmək lazımdır (yəni TOR / VPN / vs. istifadə etmədikdə göndərənin IP adresini müəyyənləşdirmək üçün).

Göndərilən bir şeyin ucdan uca şifrələndiyini necə dəqiq bilə bilərəm?

Bir çox digər populyar uçtan uca şifrələnmiş (E2EE) söhbət müştərilərindən fərqli olaraq, mesaj göndərdiyiniz zaman bizə nə göndərildiyini görmək olduqca sadədir. Aşağıdakı video təlimat, serverə göndərilən mesajların şifrəsini açmağın bir yolu olmadığımızı necə təsdiq edəcəyimizi göstərir.

Ayrıca, düşünsəniz, həssas mesajları toplamağa çalışan bir gizli agent olmadığımız müddətdə mesajların şifrəsini açmağımızın heç bir faydası yoxdur, çünki bu qabiliyyəti yalnız bizim üçün problemlər yaradır. Mesajları belə saxlamaq istəmirik - bunları çatdırmaq üçün zəruridir.

Bu saytda uçtan uca şifrələmə necə işləyir?

Bu anda simvollu şifrələmədən (AES-GCM 256bit) şifrələrdən (PBKDF2 / SHA-256 minimum 150,000 təkrar) əldə edilən açarlarla istifadə edirik. Asimmetrik şifrələmədən istifadə edilmir, çünki 1) rabitəni başlatan göndəricinin 2) göndəricinin və alıcının eyni anda onlayn olmaması və 3) alıcı barədə məlumatın olmaması və 4) işlərin sadə olmasına çalışırıq və əsas idarəetmə mürəkkəbdir. Standart Veb Kripto API, RNG daxil olmaqla bütün kriptoqrafik funksiyalar üçün istifadə olunur. Əsasən, budur nə olur:

1. Son istifadəçi bir parol seçir və ya biri avtomatik olaraq yaradılır
2. Tələb olunan PBKDF2 / SHA-256 təkrar sayını əldə etmək üçün bir API çağırışı edilir ( bu addım spam nəzarəti üçün tələb olunur )
3. 32 baytlıq bir duz meydana gəlir
4. Bir açar duzdan və şifrədən əldə edilir
5. 12 bayt başlatma vektoru (IV) yaranır
6. Mesaj + IV düyməsini istifadə edərək şifrələnir
7. Təkrar sayma, duz, IV və şifrə mətni serverə göndərilir (TTL, RTL və s. Kimi bəzi məlumatlarla birlikdə)
8. Server mesaja istinad edən təsadüfi bir şəxsiyyət qaytarır
9. Daha sonra brauzer son istifadəçiyə qaytarılmış şəxsiyyət və şifrəni ehtiva edən bir keçid və ya parol olmayan bir keçid təqdim edir (bu halda alıcı şifrəni bilməlidir və daxil etməlidir)
10. Parol keçidin bir hissəsidirsə, URL hashındadır və bu səbəbdən alıcı GET sorğusu göndərdikdə heç vaxt serverə göndərilmir
11. Alıcının şifrəsini açmaq və mesajı görmək istəmələri istənir
12. Brauzer mesajın identifikatorunu təyin edərək sorğu göndərir
13. Göndərən bir CAPTCHA doldurulmasını tələb edərsə, alıcı insan olduğunu sübut etmək üçün başqa bir URL-yə yönəldilir (keçdikdən sonra geri göndərilir)
14. Server şifrələnmiş mesaj göndərir və oxumaq üçün (RTL) bir olduğu halda, bu nöqtədə mesajı silmək üçün var
15. Alıcı mesajı şifrə ilə deşifrə edəcək (və URL-də olmasa parol istənir)

Bu quraşdırma son dərəcə sadədir və göndərənin cihazından alıcının cihazına mesaj şifrələməsini təklif edir, lakin əlbəttə ki, asimmetrik şifrələmənin yalnız alıcının şəxsi açarı olan birinin mesajın şifrəsini açmağı bilməsi baxımından təklif edə biləcəyi zəmanətdən məhrumdur. Bağlantıya sahib olan hər kəs mesajı standart ssenaridə parolun URL-nin bir hissəsi olduğu aça bilər - bu, əlaqə üçün uyğun nəqliyyat vasitəsinin (yəni e-poçt / söhbət / mətn / və s.) İstifadə olunmasının vacibliyini vurğulayır - qərar göndərən. Maraq varsa, alıcının bir mesaj sorğusunu başlatdığı və bu sorğunu mesaj göndərənə göndərdiyi çox asimmetrik bir sxem üçün də dəstək verə bilərik. Bu quraşdırma, URL-də parolun olması ehtiyacını aradan qaldıracaq, eyni zamanda göndərənin başlamaq imkanını da aradan qaldıracaq.

Şifrə şifrəsi URL-də ola bilər?

Bəli. Bu açıq şəkildə təhlükəsizliyə təsir göstərir, çünki linki göndərmək üçün istifadə olunan metod etibarsızdırsa, mesaj assosiasiya ilə etibarsızdır. Bu problemi aradan qaldırmaq üçün bütün həll yolları istifadəçi təcrübəsinə təsir göstərən əlavə addımlar və mürəkkəbliklər təqdim edir (yəni mesaj göndərilməzdən əvvəl hər iki tərəfdə də işlər qurulmalıdır). Alıcının bir mesaj sorğusunu başlatdığı və bu sorğu linkinin "hər şey müvəqqəti" əsas tələbimizlə işləyə biləcəyi bir asimmetrik sxem - bu həyata keçirilə bilər. Nəticədə, iki tərəf bir-birinə tez-tez mesaj göndərəcəksə, hər iki tərəfin də bu həllərdən istifadə edə biləcəyini düşünərək daha yaxşı həllər mövcuddur.

Ancaq şifrəni açma parolunun URL -də olması lazım deyil?

Düzdü. Şifrəni açma şifrəsi linkə daxil deyilsə, alıcıdan parol istənəcək. Şifrə alıcıya etibarlı şəkildə çatdırılırsa (və ya artıq bilirlərsə), bu müdaxilənin qarşısını alır. Ancaq dezavantajı, alıcının şifrəni bilməsi və düzgün daxil etməsidir. Şifrəni alıcıya müdaxiləyə qarşı bir qədər qorunma göndərməyin bir yolu budur:

1. Varsayılan parametrləri olan bir mesajda şifrəni şifrələyin və bu linki alıcıya göndərin.
2. Alıcı linki vurub mesajı deşifr etdikdə, özündən əvvəl heç kimin şifrəni əldə etmədiyini bilirlər, çünki parol daxil olan mesaj alındıqda silinir. Bununla birlikdə, aktiv bir MITM hücumu varsa və ya cihazınız və ya alıcınızın cihazı təhlükə altına girmişsə, başqa bir şəxsin parol əldə edə bilməsi mümkündür.
3. Alıcı ilə şifrəni uğurla əldə etdiklərini təsdiqləyin. Məsələn, alıcı sizə şifrəni almağa getdikləri zaman mesajın artıq silindiyini bildirirsə, sizdən əvvəl başqasının şifrəni əldə etdiyini və bu səbəbdən parolun pozulduğunu və istifadə edilməməsi lazım olduğunu bildirir.
4. Alıcının təsdiqlədiyi şifrəni istifadə edərək, indi şifrələmə üçün eyni şifrəni istifadə edərək bir mesaj göndərə bilərsiniz - sadəcə şifrənin olmadığı linkin versiyasını paylaşın.

Bu xidmət linki alıcıya çatdırmır?

Bu düzgündür - əlaqəni yaradırıq və alıcıya ən yaxşı şəkildə necə çatdırılacağını göndərənə veririk. Bu xidmətin məqsədi e-poçt / söhbət / mətn / vs. kimi mövcud mesaj nəqllərində daha az qalıcılıq təklif edən bir seçim təmin etməkdir. Buna görə də, ümid, müvəqqəti mesajı göstərən nöqtəni mövcud mesaj nəqli vasitəsi ilə göndərməkdir. Bunun istifadəçilərin anlamalı olduğu təhlükəsizlik təsirləri var. Nümunə olaraq SMS mətn mesajı götürək, çünki bu olduqca etibarlı olmayan bir əlaqə üsuludur. Mətn mesajı vasitəsilə müvəqqəti mesaj bağlantısı göndərmək üçün bu xidmətdən istifadə etdiyiniz zaman, parolun linkə daxil olduğu standart rejimdən istifadə edirsinizsə, əlaqəsi olan hər kəs mesajı oxuya bilər və ələ keçirilmədən qorunma təklif olunmur. Bu xidmət hələ də məxfiliyi və təhlükəsizliyi inkişaf etdirə biləcək daha müvəqqəti bir əlaqə təmin edir. Əlavə olaraq, şifrəni şifrə olmadan göndərməyi seçə bilərsiniz və bu ələ keçirilmədən qorunma təmin edəcəkdir.

Bu xidmətdən istifadə edərkən məxfiliyimi mümkün qədər necə qoruya bilərəm?

Bu SSS-in başqa bir yerində müzakirə edildiyi kimi, məxfiliyinizi qorumaq üçün çox şey etdiyimizə baxmayaraq və hər hansı bir şəxsi məlumat toplamadığımıza baxmayaraq, bəzi log ilə əlaqəli məlumatlar bizim tərəfimizdən və digərləri veb brauzerdən istifadə edərək təqdim olunur və toplanır. Bununla birlikdə, məxfiliyinizi daha çox qorumağın bir çox yolu var. Açıq mənbə proqramına əsaslanan istifadəsi pulsuz və olduqca yaxşı işləyən yollardan biri də Tor Browser- dən istifadə etməkdir. Bu brauzer, Tor şəbəkəsindən istifadə daxil olmaqla məxfiliyinizi bir çox səviyyədə qorumaq üçün hazırlanmışdır. Saytımıza onsuz da Tor soğan şəbəkəsi vasitəsilə daxil olmaq mümkündür, yəni Tor vasitəsilə saytımıza daxil olmaq bir çıxış düyününün istifadəsini tələb etmir, bu da kiminsə çıxış düyün trafiğini dinləməsini inkar edir. Bununla birlikdə, bu ssenaridə belə, İnternet provayderinizin Tor istifadə etdiyinizi görə biləcəyini unutmayın - nə üçün olmasa da. Bir VPN-ə qoşula bilər və sonra iki qat anonimlik üçün Tor Brauzerini işə sala bilərsiniz; Bununla birlikdə, İnternet provayderinizin bu ssenaridə VPN istifadə etdiyinizi görə biləcəyini unutmayın - nə üçün olmasa da. İnternet provayderinizin hansı protokollardan istifadə etdiyinizi bilməməsini istəmirsinizsə, kitabxana, məktəb və s. Kimi geniş bir ümumi WiFi şəbəkəsinə qoşula və sonra Tor brauzerindən istifadə edə bilərsiniz.

ABŞ-a etibar etmirəmsə nə olar?

Serverlərimiz ABŞ-da yerləşir. Ayrıca, CDN provayderimiz Cloudflare, ABŞ-da yerləşən bir şirkətdir. Sadəcə olaraq şəxsi məlumat toplamadığımız, heç bir mesajın şifrəsini açmadığımız və hər şey alındıqdan bir müddət sonra silindiyimiz üçün bizə və ya serverlərimizin yerləşdiyi ölkəyə etibar etmə ehtiyacımızı aradan qaldırmağa çalışdıq. Bununla birlikdə, bəzi inamsızlıqları veb əsaslı olduğundan və xüsusən də müəyyən ölkələrdə yaşadığınız üçün başa düşə bilərik. İslandiyada və İsveçrədə ABŞ-a etibar etməkdə çətinlik çəkən insanlar üçün seçim təklif etmək planlarımız var. Xahiş edirəm bunun sizə aid olub olmadığını bizə bildirin, çünki həqiqi tələb olmadığı təqdirdə alternativ təklif etmək istəməyəcəyik.

Spamın qarşısını almaq üçün nə edirsiniz?

İstədiyiniz zaman birinin bir keçid vasitəsilə ötürülə bilən bir mesaj göndərməsinə icazə verərsinizsə, spam göndərirsiniz. Bu problemin qarşısını almaq tamamilə sadə deyil. Bir neçə səbəbdən mesaj göndərmə prosesinin bir hissəsi olaraq üçüncü tərəf CAPTCHA yükləmək istəmirik:

• CAPTCHA'lardan nifrət edirik - onlar vaxt aparır və bezdirirlər
• Üçüncü tərəf javascriptinin yüklənməsi gizlilik və təhlükəsizlik üçün invaziv ola bilər
• Öz CAPTCHA-nızı işə salmaq, bitməyən whack-a-mole oyununa imza atdığımız deməkdir
• Nəhayət insanlar API vasitəsilə bu xidmətlə qarşılıqlı əlaqə qurmaq istəyə bilərlər

Bəzi API açar sistemlərindən istifadə edərək API problemini həll edə bilərik, amma sonra istəmədiyimiz istifadəçi məlumatlarını toplamaq məcburiyyətindəyik. Bundan əlavə, spam göndəricilərin çox sayda API açarı almasını dayandırmaq nədir? Mesajların spamlığını çıxarmaq üçün araşdıra bilmərik (ən yaxşı halda çox problemlidir), çünki mesajları şifrələmək xaricində mesaj məzmunu ilə əlaqəli bir siyasətimiz var. Bu tələbləri nəzərə alaraq spamın qarşısını almaq üçün iki üsul tətbiq edirik:

• Tələb olunan PBKDF2 / SHA-256 təkrar sayının artırılması
  Bütün mesajlar yalnız az sayda əldə edilə bilər - spamerlər üçün cəlbedici bir xüsusiyyət, çünki çoxlu mesaj göndərməyə etibar edirlər. Bir spam göndərən hər hansı bir spam kampaniyası üçün bir çox mesaj yaratmalı olduğu üçün bu vəzifəni spam üçün sui-istifadə etməyi cəlbedici olmayan bir cəhd kimi hesablama baxımından bahalı etməyi seçdik. Bu, mesaj göndərən şəbəkələrin izlənməsi ilə həyata keçirilir - ümumi mümkün axtarışlar ilə ölçülür. Şəbəkə məlumatlarının özü etibarlı bir şəkildə yığılmışdır, beləliklə həşdən həqiqi şəbəkəni çıxara bilmərik. Verilən bir şəbəkə daha çox mesaj göndərdiyindən, növbəti mesajı göndərmək üçün tələb olunan PBKDF2 / SHA-256 təkrar sayını artırırıq. Bu çox sürətli bir CPU göndərmək üçün yalnız bir mesaj göndərmək üçün tələb olunur. İnşallah bu metod spam istismarının qarşısını almaq üçün kifayət edəcək və eyni zamanda real istifadəçiləri təsir etməyəcəkdir.
• Mesaj alanda istifadəçilərdən spam hesabatlarını toplayın
  Bir istifadəçi mesaj alanda mesajın düz altında "Spam Bildir" düyməsinə var. Mesaj spamdırsa, inşallah bəziləri bu düyməni basmaq üçün lazım olan 3 saniyə çəkəcəkdir. Spam hesabatı aldığımız zaman bizi xəbərdar edir və eyni zamanda müəyyən bir şəbəkə üçün tələb olunan PBKDF2 / SHA-256 təkrarlamalarını təsir edir.

Spam göndəricilərin bu xidmətdən sui-istifadə etdiyini bilirsinizsə, xahiş edirəm sui-istifadə hesabatı yazın .

Niyə alıcının CAPTCHA-nı doldurmasını tələb etməsi üçün bir seçim var?

CAPTCHA'ları bəyənməməyimiz doğru olsa da, onların bir məqsədə xidmət etdiklərini və vaxtı və yeri (ən azı indiki vaxtda) olduğunu qəbul edirik. Bu, göndərənin alıcının insan olduğuna və avtomatlaşdırılmış proseslərin mesaja daxil olmadığına dair bir az əminlik qazanması üçün sadə bir yoldur.

Bu xidməti kim idarə edir və niyə pulsuzdur?

Bəzən məxfiliyimizi qorumağa kömək edəcək yaxşı seçimlərin olmaması çətinliyi ilə qarşılaşan bir cüt oğlanıq. Çox vaxt bu, cihazlarını və məlumatlarını necə idarə etdiklərinə çox diqqət yetirməyən dostlarınız və ailə üzvlərinizlə ünsiyyətdən qaynaqlanır. Digər vaxtlarda bu, Reddit kimi veb əsaslı forumlardan istifadə edərkən və ya veb əsaslı dəstək sistemlərindən istifadə edərkən meydana gəldi. Bəzi veb əsaslı müvəqqəti mesaj həlləri tapdıq, lakin heç biri onlara etibar edə bilməyəcəyimiz anlamına gələn E2EE təklif etmədi. Beləliklə, yalnız öz həllimizi qurduq və başqalarının bundan faydalanması üçün verməyə qərar verdik.

Yuxarıdakı sualların cavablarına necə etibar edə bilərəm?

Həqiqətən heç bir veb sayta yalnız müəyyən şeylər dediyi üçün etibar etməməlisən - iddiaları yoxlamaq üçün adətən yaxşı bir fikirdir. Uçtan uca şifrələmə tətbiq edərək bizə etibar etmək tələbini mümkün qədər aradan qaldırmağa çalışdıq. Məsələn, şifrələndiyindən hər hansı bir mesaj oxuya bilməyəcəyimizi yoxlamaq olduqca asandır. Bu saytın işləyən javascript kodunu da çox sadə tutduq ki, oxunması və anlaşılması asan olsun. Bütün kodu açıq mənbə halına gətirmək insanlara nəyin işlədiyini yoxlamağa imkan verir; Bununla birlikdə, serverin nə işlədiyini həqiqətən yoxlamaq üçün bir yol olmadığını unutmayın. Güvən tələbinin çoxunun ucdan uca şifrələmə ilə aradan qaldırılması doğru olsa da, istifadəçilərimizin bu xidmətdən istifadə etmək qərarına gəldikdə çox çəkdikləri bir amildir.