Často kladené otázky
- Proč je tento web špatně přeložen? ⎃
- Jak bezpečná je tato služba?
- Proč jsem sem dostal odkaz s možností dešifrovat zprávu?
- Smažete vše odeslané na tento web?
- Proč používat tuto službu?
- Je to služba zasílání zpráv?
- Jaké jsou zamýšlené případy použití?
- K čemu by tato služba neměla být využívána?
- Proč nepoužívat pouze PGP / Signal / OMEMO / Matrix / atd.?
- Jaké požadavky existují?
- Může příjemce vytvořit kopii zprávy?
- Shromažďují se nějaké osobní údaje?
- Jaké informace se zaznamenávají?
- Co děláte pro zabezpečení serverů?
- Jaká bezpečnostní rizika existují při používání tohoto webu?
- Co děláte s útoky typu man-in-the-middle (MITM)?
- Jaké výhody nabízejí rozšíření prohlížeče?
- Jak mohu s jistotou vědět, že je vše odeslané šifrováno end-to-end?
- Jak na tomto webu funguje šifrování typu end-to-end?
- Dešifrovací heslo může být v URL?
- Ale dešifrovací heslo nemusí být v URL?
- Tato služba nedoručí odkaz příjemci?
- Jak mohu při používání této služby chránit co nejvíce své soukromí?
- Co když nedůvěřuji Spojeným státům?
- Co děláte, abyste zabránili spamu?
- Proč existuje možnost požadovat, aby příjemce vyplnil CAPTCHA?
- Kdo tuto službu provozuje a proč je zdarma?
- Jak mohu důvěřovat odpovědím na výše uvedené otázky?
Proč je tento web špatně přeložen? ⎃
Litujeme, ale současní autoři mluví pouze anglicky. Potřebujeme pomoc s překladem tohoto projektu do jiných jazyků. Jako jednoduchý a levný způsob zpřístupnění této služby lidem, kteří nemluví anglicky, využíváme strojový překlad. Výsledky jsou obvykle přijatelné, ale mohou mít za následek podivné formulace nebo dokonce zcela nepřesné informace. Můžete nám pomoci zlepšit prostředí pro každého - odešlete správný překlad .
Jak bezpečná je tato služba?
Podnikli jsme mnoho kroků, abychom tuto službu zajistili pro zamýšlené použití . Než projdeme tyto kroky, je důležité pochopit následující:
- I když nemůžeme přečíst vaši zprávu z důvodu šifrování typu end-to-end , výchozí vygenerovaný odkaz obsahuje dešifrovací heslo / klíč ; a proto kdokoli, kdo má odkaz, může číst vaši zprávu - včetně kohokoli, kdo je schopen ji zachytit.
- Tato služba je pouze nástrojem, který umožňuje odesílání méně trvalé komunikace (tj. Šifrované zprávy, které se po načtení smažou) prostřednictvím tradičních přenosů, které jsou trvalejší (tj. E-mail / text / okamžité zprávy / web / atd.). To znamená, že při použití tohoto nástroje se zdědí veškeré problémy se zabezpečením a ochranou soukromí spojené s vybraným přenosem (tj. E-mailem) .
- K dispozici jsou další řešení, která nabízejí lepší zabezpečení v závislosti na vašich potřebách a prostředí. Hlavní výhodou, kterou tato služba ve srovnání s ostatními nabízí, jsou mnohem nižší požadavky na příjemce (tj. Stačí webový prohlížeč a možnost kliknout na odkaz).
- Zatímco výchozí nastavení je mazat zprávy po načtení, nic nebrání příjemci v kopírování . Mějte na paměti, že to platí pro všechna řešení dočasných zpráv - pokud příjemce vidí zprávu, lze ji zkopírovat.
- Veškerá internetová komunikace může ohrozit vaše soukromí - pro jistotu obchodujete s určitým zabezpečením.
- Web je náročným prostředím, pokud jde o bezpečnost kvůli některým zásadním problémům - to platí pro všechny webové stránky. Díky tomu, že jsme na webu, je však ověření našeho tvrzení, že vaši zprávu nemůžeme přečíst mnohem jednodušší .
- Tato webová stránka a její databáze jsou hostovány ve Spojených státech. Jako naši síť pro doručování obsahu využíváme společnost Cloudflare, společnost se sídlem ve Spojených státech (veškerý webový provoz prochází touto sítí).
- Používání služby nevyžaduje žádné osobní údaje (tj. Jméno / e-mail / telefon / atd.). Neexistuje žádný systém účtů (tj. Přihlašovací jméno / heslo / atd.); proto žádný únik dat nemůže tyto informace prosáknout.
- Veškerý obsah zprávy je šifrován end-to-end . Jinými slovy, dešifrovací klíč / heslo nám nikdy není zasláno. Proto my nebo kdokoli jiný, kdo má databázi k dispozici, nemáme žádné prostředky k dešifrování a prohlížení obsahu zprávy.
- Každý záznam v naší databázi má dobu životnosti v rozmezí od 1 minuty do 2 týdnů (výchozí hodnoty do 1 týdne). Po uplynutí této doby se záznam automaticky smaže. Proto budou veškeré informace v naší databázi smazány krátce po vytvoření .
- Udržujeme pouze posledních 24 hodin protokolů webového serveru . Veškeré informace o IP uložené v databázi jsou bezpečně hašovány, což znemožňuje extrahovat původní IP.
- Celý kód napájející tuto službu je open source a je k dispozici ke kontrole. Můžete snadno vidět kód, který spouští šifrování - což je záměrně krátké, výstižné a komentované.
- K posílení bezpečnosti je přijímána řada technických opatření - mezi něž patří:
- Celý tento web kromě / api je statický a nepodporuje serverový kód na stránkách (tj. PHP / JSP / ASP / atd.)
- Webové krypto API , které je součástí prohlížeče, se používá k šifrování veškerého obsahu zpráv.
- TLS se používá k šifrování komunikace mezi vaším prohlížečem a našimi servery. Pomáhá zajistit, aby kód nemohl být při přenosu zachycen nebo upraven. TLS 1.3 je podporován, ale podporujeme také TLS 1.2 pro starší zařízení. Starší verze TLS jsou deaktivovány, protože nejsou tak zabezpečené.
- Protokoly transparentnosti certifikátů jsou monitorovány kvůli zneužití certifikátu. Kromě toho zveřejňujeme zásady autorizace certifikačních autorit (CAA), abychom snížili riziko neúmyslného nebo škodlivého zneužití certifikátu.
- Využíváme HTTP Strict Transport Security (HSTS), abychom zajistili, že prohlížeče vždy komunikují s našimi servery pomocí protokolu TLS. Navíc zahrnujeme naše domény do seznamů předběžného načtení .
- Aby se zabránilo útokům XSS (Cross Site Scripting), jsou dodržovány přísné zásady zabezpečení obsahu .
- Pomocí prostředků politiky Cross-Origin , se začleňování zásady Cross-Origin a otvíráku na politiku Cross-Origin , zakazujeme cross kód původu s cílem pomoci zmírnit proti spekulativním útokům postranního kanálu jako přízrak a Meltdown. To také nabízí ochranu před potenciálně škodlivými požadavky jiného původu izolováním kontextu procházení výhradně do dokumentů stejného původu.
- Zaměstnáváme zásady oprávnění, abychom zabránili prohlížeči v načítání zdrojů, které by mohly ohrozit vaše soukromí, jako je vaše poloha, webová kamera, mikrofon atd.
- DNSSEC se používá ve všech našich doménách, aby pomohl zmírnit útoky MITM založené na DNS.
- Přijímáme řadu opatření k zabezpečení serveru.
- Není načten žádný kód třetí strany (tj. JQuery) a je načteno velmi málo zdrojů (pokračujte a otevřete kartu Síť v nástrojích Dev Tools) - to minimalizuje úsilí potřebné k provedení auditu. Jedinou výjimkou je, pokud je vyžadován CAPTCHA - který načte kód třetí strany z hCaptcha . Kód hCaptcha se však načte na jeho vlastní adresu URL uvnitř jeho vlastních pravidel CSP a nikdy nemá přístup k ničemu, co by mělo co do činění se zprávou.
- Jako prostředek k zabezpečení proti útokům MITM jsou k dispozici rozšíření prohlížeče .
Proč jsem sem dostal odkaz s možností dešifrovat zprávu?
Omlouváme se, pokud jsou v tomto překladu chyby . Tato služba jednoduše předá zašifrovanou zprávu z jednoho bodu do druhého a vy jste příjemcem. Zpráva bude brzy smazána. Provozovatelé této služby nemají žádný způsob, jak číst obsah zprávy. Obvykle někdo tuto službu používá, když nechce, aby obsah zprávy zůstal uvnitř různých databází / zařízení / služeb / souborů / atd. jak je typické při odesílání e-mailu / okamžité zprávy / textu / atd. Pokud se rozhodnete dešifrovat, mějte na paměti následující:
- Je pravděpodobné, že zpráva bude odstraněna ihned po odeslání do vašeho zařízení k dešifrování. To znamená, že po dešifrování zprávy kliknutím na tlačítko již nebudeme mít kopii, abychom vám ji mohli později poslat znovu.
- Systematicky mazáme všechny přijaté informace. Zprávy budou odstraněny kdekoli od jedné minuty do dvou týdnů po vytvoření - bez ohledu na to, zda je zpráva vůbec dešifrována. Jinými slovy, pokud potřebujete přečíst zprávu, nečekejte na její dešifrování příliš dlouho.
- Odesílatel se pravděpodobně domnívá, že s obsahem zprávy je třeba zacházet opatrně. Možná dokonce naznačili, že nechtějí vytvářet žádné kopie. Respektujte prosím jejich přání.
- Pokud se zobrazí výzva k zadání hesla k dešifrování zprávy, nezavírejte okno / kartu prohlížeče. Podle první odrážky v tomto seznamu pravděpodobně nebudeme moci poslat další kopii později. Ponechejte okno / kartu prohlížeče otevřené, dokud nebudete moci zadat heslo. Pokud zadáte nesprávné heslo, budete vyzváni znovu. Heslo musí být zadáno přesně. Pamatujte, že abychom vyhověli různým jazykům a požadavkům na heslo, přijímáme v heslech mnoho různých znaků.
Smažete vše odeslané na tento web?
Věrni našemu logu koše ... vše bude smazáno krátce po obdržení. Odstranění všeho je automatizované - zapisuje se to na server. Přemýšlejte o tom takto - předkládají se dvě třídy informací:
- Šifrované zprávy, pro které nemáme prostředky k dešifrování obsahu
- Další informace související s odesíláním čehokoli na web (tj. Vaše IP adresa atd.)
- Jak dlouho bychom měli zprávu uchovat, pokud ji nikdo nenačte (v rozsahu od 1 minuty do 2 týdnů - výchozí hodnoty do 1 týdne).
- Kolikrát je zpráva načtena (od 1 do 100krát - výchozí nastavení je 1)
Proč používat tuto službu?
Tato služba je nástroj, který pomáhá snižovat trvalost odesílaných a přijímaných zpráv. Většina toho, co komunikujete na internetu (chaty, texty, e-maily atd.), Je uložena a zřídka smazána. Často, když něco smažete, ve skutečnosti to není smazáno, ale spíše označeno jako smazané a již se vám nezobrazuje. Vaše souhrnná komunikace se rok co rok hromadí v databázích a na zařízeních, nad kterými nemáte žádnou kontrolu. Nevyhnutelně je jedna nebo více organizací / osob / zařízení, které ukládají vaši komunikaci, napadeno a vaše informace jsou unikly. Tento problém je tak všudypřítomný, že nyní existuje mnoho webových stránek, které sledují organizace, které byly kompromitovány a unikly z nich uživatelská data. End-to-end šifrované dočasné zprávy jsou jednoduchým řešením, díky kterému je část vaší komunikace méně trvalá. Každá zpráva odeslaná na tento web má dobu životnosti v rozmezí od 1 minuty do 2 týdnů - po uplynutí této doby je zpráva odstraněna. Výchozí nastavení je dále odstranit jakoukoli zprávu, jakmile ji příjemce načte. Kromě toho jsou všechny zprávy šifrovány z vašeho zařízení až do zařízení příjemce. Hlavním cílem při používání šifrování typu end-to-end je odstranit naši schopnost číst všechny odeslané zprávy, čímž odstraníme část požadavku na důvěryhodnost. Konečným výsledkem je, že je nyní snadné odeslat šifrovanou zprávu pomocí jednoduchého odkazu. Tato zpráva je odstraněna buď krátce po odeslání, nebo po načtení. Nemusíte instalovat / konfigurovat speciální software. Nemusíte si vytvářet účet ani poskytovat žádné osobní údaje. Příjemce nemusí být ve vašich kontaktech nebo o této službě ani vědět - jediný požadavek, aby mohl kliknout na odkaz.
Je to služba zasílání zpráv?
Ne. Tato služba je navržena k doplnění stávajících služeb zasílání zpráv, jako jsou zasílání rychlých zpráv / e-mail / text / atd. přidáním možnosti zabránit dlouhodobému ukládání odeslaných zpráv. Generovaný odkaz nedoručíme příjemci .
Jaké jsou zamýšlené případy použití?
Jaké jsou tedy scénáře, kdy je vhodné tuto službu využívat? Zatímco každý má jiné potřeby a požadavky, pokud jde o jeho soukromí a zabezpečení, osobně jsem jako vhodné případy použití našel následující scénáře:
- Komunikovali jste prostřednictvím místního webového fóra o stezkách pro horská kola v této oblasti a někdy jste se setkali s lidmi na fóru, abyste společně prozkoumali nové stezky. Někdo z fóra vás chce o víkendu vyzvednout u vás, aby se spolujezdil na stezku. Nechcete, aby vaše domovská adresa seděla navždy v této databázi fóra webových stránek. Jednoduše pošlete adresu prostřednictvím této služby - odkaz je to, co je uloženo v databázi fóra webových stránek, ale jakmile si ji příjemce přečte, zpráva / adresa se smaže.
- Musíte poslat svému bratrovi přihlašovací údaje k Netflixu, protože ho vaše neteř pobláznila kvůli uzamčení COVID a stále nemá svůj vlastní účet. Na tomto přihlášení se příliš nestaráte, ale váš bratr je obzvláště špatný v tom, čemu budu říkat jen „digitální hygiena“, a zažil mnoho pokusů s napadenými přihlašovacími údaji a malwarem. Následné pokusy přimět jej, aby uklidil svůj čin, a dokonce ani instalace bezpečných zpráv pro něj selhaly. Pouhé odeslání prostřednictvím textové zprávy je pravděpodobně nejlepší volbou (bohužel), ale je vám nepříjemné, že toto přihlášení sedí v jeho historii zpráv kvůli minulým zkušenostem. Použití této služby k odeslání přihlašovacích údajů prostřednictvím odkazu v textové zprávě uspokojí to, že nedovolíte, aby se přihlašovací údaje v jeho historii chatu věnovaly navždy.
- Někdy pracujete v kanceláři, která má mnoho sdílených nájemníků, kteří přicházejí a odcházejí každou hodinu. K dispozici je WiFi k použití, ale heslo se střídá každý týden, protože došlo k problémům se zneužíváním. Mnoho nájemců e-mailem / textem žádá o heslo WiFi, i když je na recepci, protože většina nevstupuje předním hlavním vchodem. Pomocí této služby může vedoucí kanceláře odeslat heslo WiFi prostřednictvím odkazu v e-mailové / textové odpovědi, aby nedovolil, aby heslo přetrvávalo, a také umožňuje příjemci okamžitě zkopírovat heslo pomocí tlačítka kopírování, které je na mobilních zařízeních méně nemotorné.
- Jeden z vašich poskytovatelů hostingu se vás ptá na podrobnosti o serveru, který jste nahlásili, vykazuje známky pevného disku, který se zdá být špatný. Některé informace, které potřebují, jsou trochu citlivé - nechcete, aby to sedělo věčně v lístkovém systému 3. strany, který používají. Pomocí této služby můžete odeslat informace technikům podpory, aniž by se nacházeli v lístkovém systému. Vzhledem k tomu, že více techniků bude možná muset odkazovat na informace vícekrát, nastavte četnost čtení větší než 1 (tj. Možná 20), aby se zpráva při prvním načtení neodstranila.
- Musíte soukromě poslat zprávu jinému uživateli na Redditu, abyste mu sdělili své telefonní číslo, aby vám mohl zavolat. Reddit, stejně jako mnoho jiných poskytovatelů, v minulosti prozrazovalo informace o uživateli a nechcete, aby vaše telefonní číslo celé roky sedělo v databázi Redditu až do příštího úniku. Prostřednictvím této služby jednoduše odešlete své telefonní číslo.
- Váš manžel vám pošle zprávu, když jste v práci a chtějí přihlášení k nástroji, protože její kamarádka právě vyzkoušela nový program, který jí ušetřil peníze na účtu za elektřinu a chce si to prohlédnout. Existuje sdílený rodinný správce hesel, kterému jí připomínáte, ale ona chce, abyste odeslali přihlašovací údaje. Společnost OMEMO je zaměstnána pro zasílání rychlých zpráv vašemu partnerovi, a proto se cítíte velmi přesvědčeni, že přenos zpráv je bezpečný; samotná historie chatu je však uložena nezašifrovaná. Váš manžel není vždy opatrný ohledně stahování, e-mailů atd. A účty za služby jsou trochu citlivé, protože je lze použít ke krádeži identity k prokázání pobytu. Pomocí této služby jí můžete zaslat přihlašovací údaje, abyste zabránili ukládání kopie do jejího počítače.
K čemu by tato služba neměla být využívána?
Tato služba by neměla být používána pro velmi citlivé informace ze všech důvodů vysvětlených v tomto FAQ. Níže uvádíme několik příkladů, co nedělat:
- Nepoužívejte tuto službu k „bezpečnějšímu“ přenosu nevhodných zpráv. Protože výchozí nastavení je zahrnout heslo do adresy URL, která může číst zprávu, může si zprávu přečíst kdokoli s odkazem. Jak bylo uvedeno výše, jakékoli problémy se zabezpečením / ochranou soukromí spojené s vybraným přenosem (tj. Text) se zdědí, když použijete tento nástroj. Pokud byste například nikdy neuvažovali o použití e-mailu k odeslání konkrétních informací kvůli jeho senitivní povaze, neměli byste tuto službu používat k „zabezpečení“ této části e-mailu.
- Nepoužívejte tuto službu, abyste zajistili, že se zpráva nebude kopírovat. Jen proto, že odstraníme naši kopii šifrované zprávy ihned po načtení a ztěžujeme její kopírování, neznamená, že zprávu nelze kopírovat. Co když příjemce pořídí fotografii své obrazovky? Co když jen zapíšou zprávu? Nakonec, pokud si příjemce může zprávu přečíst - lze vytvořit kopii.
- Nepoužívejte tuto službu, abyste zajistili, že zprávu nelze vysledovat zpět k vám. Tato služba je závislá na jiném poskytovateli přenosu zpráv (tj. E-mail, chat atd.), Aby mohla zprávu dostat z jednoho bodu do druhého. Použitý transport zpráv mohl velmi dobře vystopovat zprávu zpět k vám.
- Nepoužívejte tuto službu k odesílání čehokoli, co chcete odeslání odmítnout. Jen proto, že je odstraněna samotná zpráva, neznamená to, že je odstraněn odkaz směřující na odstraněnou zprávu. Pokud pošlete e-mail svému příteli a část tohoto e-mailu má odkaz na zprávu z této služby, příležitostný čtenář bude vědět, že ve zprávě bylo něco jiného. I když je zpráva, na kterou odkaz odkazuje, dávno pryč - je jasné, že bylo odesláno něco jiného a že jste ji odeslali svému příteli.
Proč nepoužívat pouze PGP / Signal / OMEMO / Matrix / atd.?
Pokud znáte osobu, které chcete posílat zabezpečené dočasné zprávy, posílejte je často, očekávejte rozhraní podobné chatu nebo můžete očekávat, že příjemce bude mít požadovaný software a bude vědět, jak jej používat, pravděpodobně tento web není nejlepší řešení. Existují skvělé možnosti, které jsou otevřený zdroj, podporují E2EE, ne webové, a dokonce i některé jako Signal, které také podporují dočasné zprávy. Osobně používám soukromý server XMMP a OMEMO k chatování s blízkými přáteli a rodinou. Používání tohoto webu může být optimální pouze v případě, že nevíte, jaký software příjemce používá, neznáte jeho telefonní číslo / kontaktní osobu, neznáte jeho technické znalosti (ale předpokládejte, že může kliknout na odkaz), nebo si raději ponecháte zprávu, kterou posíláte, mimo základní komunikační přenos.
Jaké požadavky existují?
Je vyžadován moderní a aktuální webový prohlížeč, který správně implementuje standardy včetně Web Crypto API. Mezi příklady patří: Chrome, Firefox, Edge a Safari (kolem roku 2020 nebo později).
Může příjemce vytvořit kopii zprávy?
Ano. Přestože se zpráva může po načtení sama smazat, může si ji příjemce zobrazit. Kdykoli může příjemce úplně zobrazit zprávu, lze vytvořit kopii - to platí pro veškerou komunikaci. Existuje možnost, jak příjemci ztížit vytvoření kopie. V tomto případě jsou implementovány tři překážky kopírování:
- Tlačítko Kopírovat je odebráno. Toto tlačítko standardně umožňuje příjemci zkopírovat celou zprávu do své schránky.
- Tlačítko Stáhnout je odebráno. Toto tlačítko standardně umožňuje příjemci stáhnout zprávu jako textový soubor.
- Možnost vybrat text uvnitř textového pole zprávy je odstraněna.
Shromažďují se nějaké osobní údaje?
Nepodporujeme uživatelské účty (tj. Uživatelské jméno / heslo). Neshromažďujeme žádné informace, které by vás mohly identifikovat (tj. Jméno / adresa / e-mail / telefon). Je možné, že ve zprávě, kterou odesíláte, mohou být některé osobní údaje, ale jsou šifrované a my je nemáme možnost přečíst. Úplné podrobnosti najdete v našich zásadách ochrany osobních údajů.
Jaké informace se zaznamenávají?
Náš webový server uchovává až 24 hodin běžného formátu protokolu o všech webových aktivitách. To zahrnuje protokolování úplné adresy IP klientů HTTP. Po 24 hodinách se tyto zaznamenané informace automaticky smažou. Všechny požadavky odeslané do / api jsou POSTed, což znamená, že webový server nikdy nezaznamenává žádné konkrétní informace o zprávě. Kromě toho jsou všechny informace uložené v databázi účinně protokolovány. Všechny položky v databázi, včetně anonymizovaných a hašovaných adres IP, mají dobu vypršení platnosti (TTL), po které jsou automaticky odstraněny. Doby vypršení platnosti TTL se pohybují mezi 1 minutou a 2 týdny.
Co děláte pro zabezpečení serverů?
Zabezpečení serveru je zjevným problémem. Abychom ji udrželi v bezpečí, zaměřujeme se na dvě hlavní oblasti:
- Nejprve ukládáme co nejméně po co nejmenší možnou dobu, aby v případě, že dojde k narušení serveru, žádný únik informací nepoškodí naše uživatele. Všechny zprávy uložené v databázi jsou šifrovány bez dešifrování. Není uloženo nic, co by spojovalo jakoukoli zprávu s kterýmkoli z našich uživatelů, protože od našich uživatelů neshromažďujeme žádné osobní údaje. Všechny záznamy v databázi mají dobu platnosti (TTL) v rozmezí od 1 minuty do 2 týdnů - po uplynutí této doby se záznam automaticky smaže. Drtivá většina informací, které kdy byly v databázi, byla proto již dávno smazána.
- Přijímáme řadu opatření, abychom zabránili kompromisu a omezili jakýkoli kompromis, ke kterému dojde:
- Webový server, nginx , je spuštěn v izolovaném kontejneru jako neprivilegovaný uživatel bez přístupu k zápisu na cokoli jiného než protokoly. Kontejner běží ve vlastním kontextu SELinux, což dále brání jakýmkoli změnám systému souborů nebo snadnému úniku z kontejneru. Neexistuje žádná podpora pro PHP / ASP / JSP / atd. - jen slouží statickým zdrojům.
- Kód running / api je napsán v Go, což by mělo zajistit jeho odolnost vůči přetečení vyrovnávací paměti (běžný vektor útoku). Proces Go také běží v izolovaném kontejneru jako uživatel bez oprávnění, bez přístupu k zápisu do čehokoli jiného než do databáze. Kontejner běží ve vlastním kontextu SELinux, což dále brání jakýmkoli změnám systému souborů nebo snadnému úniku z kontejneru. Databáze, badgerdb , je součástí procesu Go (žádná závislost / proces na externí databázi).
- Hlavní nebezpečí kompromisu serveru spočívá v tom, že útočník může upravovat soubory způsobem, který by narušil soukromí / bezpečnost našich uživatelů. Specializovaný proces monitoruje všechny soubory webových stránek, zda neobsahují jakékoli změny, a okamžitě nás upozorní, pokud dojde ke změně.
- Veškerý přístup pro správu je chráněn a omezen na autorizované sítě.
Jaká bezpečnostní rizika existují při používání tohoto webu?
Než se konkrétně zabývám některými z těchto rizik, domnívám se, že polostruktivní analogie může pomoci shrnout rizika při používání jakékoli internetové komunikace. Představte si, že jakýkoli systém je bezpečný pouze jako nejslabší článek v řetězci. Nyní si představte scénář, kdy jsou v zapečetěné místnosti dva lidé bez možnosti vidět, slyšet nebo zaznamenat vše, co dělají. Jeden předá zprávu druhému, kterého po přečtení vypálí. Pokud si někdo mimo tuto místnost přeje získat zprávu, která již byla předána, bude to těžké. Jaký je nejslabší odkaz k získání zprávy? Není tolik odkazů na výběr - je to docela krátký řetězec. Nyní si představte, že když pošlete zprávu na internet, že v řetězci je nejméně milion odkazů - mnoho z nich slabých - mnoho z nich zcela mimo vaši kontrolu - a to je realita.
Použití šifrování může výrazně pomoci s výše uvedeným problémem s miliony odkazů a jeho snadné nalákání k myšlence, že dobře navržené systémy E2EE nabízejí řešení pro všechny. Toto myšlení vás však může dostat do potíží, protože útočník obvykle jde jen za slabšími odkazy v systému. Například je pravděpodobně mnohem snazší převzít kontrolu nad telefonem nebo počítačem a nastavit záznamník vstupů, který bude číst vše, co napíšete, než rozbíjení šifrovaných zpráv po kabelu. Závěrem je, že kdybych měl za úkol sdělit tajemství zásadního / kritického významu, používal bych elektronickou komunikaci pouze jako poslední možnost.
Existují tedy bezpečnostní rizika při jakékoli komunikaci, ale stále používáte webový prohlížeč pro bankovnictví, nákup věcí, e-mailů atd. Je to přijatelné riziko pro získané obrovské vymoženosti. Skutečná otázka zní ... jaká bezpečnostní rizika jsou pro tento web částečně specifická? Několik přijde na mysl:
- Pravděpodobně největším a nejvíce jedinečným rizikem pro tuto službu je to, že naši uživatelé nebudou používat dobrý úsudek, když rozlišují mezi tím, co je vhodné poslat a co není vhodné poslat . Někdy může být rozdíl mezi „zasláním těchto informací e-mailem v pořádku - jen bych si přál, aby byl e-mail po přečtení smazán“ a „textovým zasláním mi není příjemné - e-mail je nevhodný transport“, může být docela jemné.
- Vždy existuje hrozba, že provozovatelé tohoto webu jsou ve skutečnosti špatní aktéři, kteří lákají lidi, aby využívali službu k dosažení temného konečného cíle. Narazili jsme na věrohodně důvěryhodné - vše udělejte snadno a zdarma - získejte spoustu lidí využívajících službu - po celou dobu se zlověstným záměrem. Bwhahahahaha! Jak byste nám mohli věřit?
- Existuje šance, že náš kód obsahuje chyby, které mají dopad na zabezpečení, nebo jsme si prostě věci dobře nerozmysleli a naše nedostatky nyní vystavují naše uživatele zbytečnému nebezpečí. Určitě doufáme, že ne - ale nemůžeme to vyloučit.
- Na rozdíl od technologických titánů (tj. Google / Facebook / Whatsapp), jejichž terče šifrovaných dat neustále proudí dovnitř a ven z jejich enormních sítí, kde je snadné propojit soukromou komunikaci s jiným provozem, samostatnými centralizovanými službami (tj. Signál, Telegram a my) vynikáme. Síťový operátor nebo dokonce velká organizace / vláda snadno zjistí, že IP adresa xxxx používá službu XYZ.
- I když to není pro tento web konkrétní, protože jej lze použít proti libovolnému webu, jsou útoky typu man-in-the-middle (MITM) platným problémem .
Co děláte s útoky typu man-in-the-middle (MITM)?
Všichni uživatelé webových stránek se mohou potenciálně stát obětí útoku MITM - tato stránka se v tomto ohledu neliší od všech ostatních na webu. Útok MITM je, když je útočník schopen zachytit a upravit komunikaci mezi prohlížečem uživatele a webovým serverem webu. To umožňuje útočníkovi upravit libovolný kód / obsah webu, zatímco koncovému uživateli se stále zdá být webem, na který je zvyklý. Přijmeme některá opatření, abychom útok MITM ztížili:
- HSTS se používá k vynucení připojení prohlížečů pouze přes TLS. Náš server je nakonfigurován tak, aby ignoroval jinou komunikaci než TLS, kromě přesměrování. Podporovány jsou pouze TLS 1.2 nebo vyšší.
- DNSSEC se používá k podepsání zóny naší domény. To by mohlo zastavit spoofing DNS implementovaný MITM útoky, pokud uživatel používá rekurzivní resolver s vědomím DNSSEC.
- Službu používáme ke sledování certifikačních autorit vydávajících jakékoli neoprávněné certifikáty TLS odkazující na naši doménu.
- Publikovali jsme rozšíření prohlížeče, která podporují šifrování zpráv pomocí kódu uloženého v zařízení koncového uživatele.
Jaké výhody nabízejí rozšíření prohlížeče?
Nabízíme rozšíření prohlížeče jako prostředek k zajištění většího pohodlí a dalšího zabezpečení. Jednoduše řečeno ... Díky rozšíření je odesílání dočasných zpráv rychlejší a jednodušší. Určité zabezpečení je také získáno, protože veškerý kód používaný k šifrování a přípravě zprávy je uložen lokálně v rámci rozšíření. Protože je kód uložen lokálně, nabízí to odesílateli určitou ochranu před útoky MITM . Je však třeba zdůraznit, že zatímco rozšíření nabízejí větší ochranu před útokem MITM, který ohrožuje obsah zprávy, útok MITM může být stále účinný (tj. Určit IP adresu odesílatele, pokud nepoužívá TOR / VPN / atd.).
Jak mohu s jistotou vědět, že je vše odeslané šifrováno end-to-end?
Na rozdíl od mnoha jiných populárních klientských chatů typu end-to-end šifrovaných (E2EE) je poměrně snadné přesně zjistit, co se nám při odeslání zprávy pošle. Níže uvedený videonávod ukazuje, jak potvrdit, že nemáme způsob, jak dešifrovat zprávy odeslané na server.
Také, pokud se nad tím zamyslíte, pokud nejsme tajnou agenturou, která se snaží sbírat citlivé zprávy, není pro nás výhodou, že budeme moci dešifrovat zprávy, protože mít tuto schopnost nám jen vytváří problémy. Nechceme ani ukládat zprávy - je to však nutné zlo, abychom je doručili.Jak na tomto webu funguje šifrování typu end-to-end?
V tuto chvíli používáme symetrické šifrování (AES-GCM 256bit) s klíči odvozenými z hesel (minimálně 150 000 iterací PBKDF2 / SHA-256). Asymetrické šifrování se nepoužívá, protože existují požadavky na 1) odesílatele, který iniciuje komunikaci 2) odesílatele a příjemce není současně online a 3) žádné informace o příjemci a 4) snažíme se, aby věci byly skutečně jednoduché a správa klíčů je složitý. Standardní Web Crypto API se používá pro všechny kryptografické funkce včetně RNG. V zásadě se děje toto:
- Koncový uživatel zvolí heslo nebo se heslo vygeneruje automaticky
- Je provedeno volání API k získání počtu požadovaných iterací PBKDF2 / SHA-256 ( tento krok je vyžadován pro kontrolu spamu )
- Vygeneruje se 32 bajtová sůl
- Klíč je odvozen od soli a hesla
- Je vygenerován 12bajtový inicializační vektor (IV)
- Zpráva je šifrována pomocí klíče + IV
- Počet iterací, sůl, IV a ciphertext se odesílají na server (spolu s dalšími informacemi, jako jsou TTL, RTL atd.)
- Server vrací náhodné ID odkazující na zprávu
- Prohlížeč poté předá koncovému uživateli odkaz, který obsahuje vrácené ID a heslo nebo odkaz bez hesla (v takovém případě musí příjemce znát a zadat heslo)
- Pokud je heslo součástí odkazu, je v hash adresy URL , a proto se nikdy neposílá na server, když příjemce zadá požadavek GET
- Příjemce se zobrazí výzva, pokud chce zprávu dešifrovat a zobrazit
- Prohlížeč zadá požadavek s uvedením ID zprávy
- Pokud odesílatel vyžaduje vyplnění CAPTCHA, je příjemce přesměrován na jinou adresu URL, aby prokázal, že je člověk (jakmile projde, bude přesměrován zpět)
- Server odešle zašifrovanou zprávu a ve výchozím nastavení tuto zprávu odstraní, pokud je read-to-live (RTL) jedna
- Příjemce dešifruje zprávu pomocí hesla (a pokud není v adrese URL, bude vyzván k zadání hesla)
Dešifrovací heslo může být v URL?
Ano. To samozřejmě ovlivňuje zabezpečení, protože pokud je metoda použitá k odeslání odkazu nezabezpečená, zpráva je nezabezpečená přidružením. Všechna řešení k odstranění tohoto problému zavádějí další kroky a složitosti, které mají vliv na uživatelskou zkušenost (tj. Před odesláním zprávy je třeba na obou koncích nastavit věci). Asymetrické schéma, kterým příjemce iniciuje požadavek na zprávu a odešle odkaz na požadavek, může fungovat s naším klíčovým požadavkem „vše je pomíjivé“ - toto může být implementováno. Nakonec, pokud si dvě strany budou navzájem posílat zprávy často, existují lepší řešení za předpokladu, že obě strany zvládnou používat tato řešení.
Ale dešifrovací heslo nemusí být v URL?
Opravit. Není -li v odkazu zahrnuto dešifrovací heslo, bude příjemce vyzván k zadání hesla. Pokud je heslo bezpečně sděleno příjemci (nebo ho již zná), poskytuje to ochranu proti zachycení. Nevýhodou však je, že příjemce musí znát a správně zadat heslo. Zde je jeden ze způsobů, jak odeslat heslo příjemci, který nabízí určitou ochranu proti zachycení:
- Zašifrujte heslo do zprávy s výchozím nastavením a odešlete tento odkaz příjemci.
- Když příjemce klikne na odkaz a dešifruje zprávu, ví, že nikdo jiný před ním nezískal heslo, protože zpráva obsahující heslo je po načtení odstraněna. Pokud však došlo k aktivnímu útoku MITM nebo došlo k ohrožení vašeho zařízení nebo zařízení příjemce, je stále možné, aby heslo získala jiná strana.
- Potvrďte s příjemcem, že úspěšně získal heslo. Pokud vás příjemce například informuje, že když šel získat heslo, že zpráva již byla odstraněna, pak víte, že někdo jiný získal heslo před příjemcem a že heslo je proto prolomeno a nemělo by se používat.
- Pomocí hesla, které příjemce potvrdil, že vlastní, můžete nyní odeslat zprávu pomocí stejného hesla pro šifrování - stačí sdílet verzi odkazu, který heslo neobsahuje.
Tato služba nedoručí odkaz příjemci?
To je pravda - vygenerujeme odkaz a necháme na odesílateli, jak nejlépe jej doručit příjemci. Cílem této služby je poskytnout možnost nabízející menší stálost ve stávajících přenosech zpráv, jako je e-mail / chat / text / atd. Očekává se tedy, že odkaz, který generujeme a který odkazuje na dočasnou zprávu, je odeslán prostřednictvím existujícího přenosu zprávy. To má bezpečnostní důsledky, kterým by uživatelé měli rozumět. Vezměme si jako příklad textovou zprávu SMS, protože se jedná o docela nejistou metodu komunikace. Když použijete tuto službu k odeslání dočasného odkazu na zprávu prostřednictvím textové zprávy, použijete-li výchozí režim, kdy je do odkazu zahrnuto heslo, zprávu může číst kdokoli, kdo má odkaz, a není zajištěna ochrana proti odposlechu. Tato služba stále poskytuje dočasnější komunikaci, která může zlepšit soukromí a zabezpečení. Dále se můžete rozhodnout odeslat odkaz bez hesla, což zajistí ochranu proti zachycení.
Jak mohu při používání této služby chránit co nejvíce své soukromí?
Jak je diskutováno jinde v tomto FAQ, i když již děláme hodně pro ochranu vašeho soukromí a přestože neshromažďujeme žádné osobní údaje, některé informace související s protokoly odesíláme a shromažďujeme my a ostatní na základě toho, že používáte webový prohlížeč. Existuje však několik způsobů, jak ještě více chránit vaše soukromí. Jedním ze způsobů, které jsou zdarma k použití na základě softwaru s otevřeným zdrojovým kódem a fungují docela dobře, je použití prohlížeče Tor . Tento prohlížeč je navržen tak, aby chránil vaše soukromí na několika úrovních - včetně používání sítě Tor . Náš web je již přístupný přes síť Tor cib, což znamená, že přístup na náš web přes Tor nevyžaduje použití výstupního uzlu, což vylučuje, aby někdo odposlouchával provoz výstupního uzlu . Mějte však na paměti, že i v tomto scénáři může váš ISP vidět, že používáte Tor - i když ne k čemu. Můžete se dokonce připojit k VPN a poté spustit prohlížeč Tor pro dvě vrstvy anonymity; Mějte však na paměti, že váš ISP stále vidí, že v tomto scénáři používáte VPN - i když ne k čemu. Pokud nechcete, aby váš ISP věděl, jaké protokoly používáte, můžete se připojit k velké veřejné síti WiFi, jako je knihovna, škola atd., A poté použít prohlížeč Tor.
Co když nedůvěřuji Spojeným státům?
Naše servery jsou umístěny ve Spojených státech. Náš poskytovatel CDN, Cloudflare, je navíc společnost se sídlem ve Spojených státech. Pokusili jsme se odstranit potřebu důvěřovat nám nebo zemi, ve které naše servery sídlí, jednoduše proto, že neshromažďujeme osobní údaje, nemůžeme dešifrovat žádné zprávy a vše je smazáno krátce po jejich přijetí. Chápeme však určitou nedůvěru, protože je webová, zejména pokud žijete v určitých zemích. Máme několik plánů, jak nabídnout možnosti na Islandu a ve Švýcarsku pro lidi, kteří těžko důvěřují USA. Pokud se vás to týká, dejte nám prosím vědět , protože pokud nebude skutečná poptávka, nebudeme motivováni nabízet alternativy.
Co děláte, abyste zabránili spamu?
Kdykoli někomu povolíte zveřejnit zprávu, kterou lze předat prostřednictvím odkazu, pozvete spammery. Omezení tohoto problému není zcela jednoduché. Nechceme načíst CAPTCHA třetí strany jako součást procesu odesílání zprávy z několika důvodů:
- Nesnášíme CAPTCHA - vyžadují čas a jsou otravní
- Načítání JavaScriptu třetích stran může být pro ochranu soukromí a zabezpečení invazivní
- Provozování naší vlastní CAPTCHA znamená, že se přihlašujeme k nikdy nekončící hře whack-a-mole
- Lidé by možná mohli chtít být schopni komunikovat s touto službou prostřednictvím API
- Zvýšení počtu požadovaných iterací PBKDF2 / SHA-256
Všechny zprávy lze načíst jen několikrát - neatraktivní atribut pro spamery, protože se spoléhají na odesílání mnoha zpráv. Vzhledem k tomu, že by spammer musel pro každou danou spamovou kampaň vytvářet spoustu zpráv - rozhodli jsme se, že tento úkol učiníme tak výpočetně nákladným, aby zneužití této služby pro spam nebylo lákavým úsilím. Toho je dosaženo sledováním sítí, které odesílají zprávy - měřeno jako celkový možný počet stažení. Samotné síťové informace jsou bezpečně hašovány, takže nemůžeme odvodit skutečnou síť z hašování. Protože daná síť zveřejňuje více zpráv, zvyšujeme počet iterací PBKDF2 / SHA-256 potřebných k odeslání další zprávy. To velmi rychle vede k tomu, že k odeslání jedné zprávy je zapotřebí hodně času CPU. Doufejme, že tato metoda bude adekvátní k omezení zneužívání spamu a zároveň nebude mít vliv na skutečné uživatele. - Shromažďujte zprávy o spamu od uživatelů, když načtou zprávu
Když uživatel načte zprávu, vpravo pod zprávou je tlačítko „Nahlásit spam“. Pokud je zpráva spam, doufejme, že některým bude kliknutí na toto tlačítko trvat 3 sekundy. Když obdržíme hlášení o spamu, upozorní nás to a také to ovlivní dopad požadovaných iterací PBKDF2 / SHA-256 pro danou síť.
Proč existuje možnost požadovat, aby příjemce vyplnil CAPTCHA?
I když je pravda, že se nám nelíbí CAPTCHA, uvědomujeme si, že slouží účelu a mají čas a místo (alespoň prozatím). Toto je jednoduchý způsob, jak odesílatel získat jistotu, že příjemce je člověk a že automatizované procesy ke zprávě nepřistupují.
Kdo tuto službu provozuje a proč je zdarma?
Jsme jen pár lidí, kteří někdy čelili nesnázi, že nemají dobré možnosti, jak chránit naše soukromí. Často to bylo výsledkem komunikace s přáteli a členy rodiny, kteří nebyli příliš opatrní v tom, jak zacházejí se svými zařízeními a informacemi. Jindy k tomu došlo při používání webových fór, jako je Reddit, nebo při používání webových podpůrných systémů. Našli jsme nějaká webová řešení pro dočasné zprávy, ale žádná nenabídla E2EE, což znamenalo, že jsme jim nemohli věřit. Právě jsme tedy vytvořili vlastní řešení a rozhodli jsme se jej rozdat, aby z něj mohli těžit ostatní.
Jak mohu důvěřovat odpovědím na výše uvedené otázky?
Opravdu byste neměli důvěřovat žádné webové stránce jen proto, že říká určité věci - je obvykle dobrý nápad ověřit jakékoli tvrzení. Pokusili jsme se odstranit požadavek co nejvíce nám důvěřovat pomocí šifrování typu end-to-end. Například je docela snadné auditovat, že nemůžeme číst žádné zprávy, protože jsou šifrované . Rovněž jsme udrželi velmi snadný běh tohoto kódu JavaScriptu , aby byl snadno čitelný a srozumitelný. Vytvoření celého kódu jako open source umožňuje lidem ověřit, co běží; mějte však na paměti, že neexistuje způsob, jak skutečně ověřit, na čem server běží. I když je pravda, že velká část požadavku na důvěryhodnost je odstraněna pomocí šifrování typu end-to-end, stále jde o faktor, který naši uživatelé při rozhodování o použití této služby velmi váží.