Korduma kippuvad küsimused

• Miks on see sait halvasti tõlgitud? ⎃
• Kui turvaline see teenus on?
• Miks ma sain siia lingi sõnumi dekrüpteerimise võimalusega?
• Kas kustutate kõik sellele saidile saadetud?
• Miks seda teenust kasutada?
• Kas see on sõnumiteenus?
• Millised on kavandatud kasutusjuhud?
• Milleks seda teenust kasutada ei tohi?
• Miks mitte kasutada lihtsalt PGP/Signal/OMEMO/Matrix/jne?
• Millised nõuded on olemas?
• Kas adressaat saab sõnumist koopia teha?
• Kas isikuandmeid kogutakse?
• Millist teavet logitakse?
• Mida teete serverite turvalisuse tagamiseks?
• Millised turvariskid selle saidi kasutamisel esinevad?
• Mida teete keset rünnakuid (in-in-the-middle, MITM)?
• Milliseid eeliseid pakuvad brauseri laiendused?
• Kuidas ma saan kindlalt teada, et kõik esitatu on otsast lõpuni krüptitud?
• Kuidas otsetee krüptimine sellel saidil töötab?
• Kas dekrüpteerimisvõti võib olla URL -is?
• Kuid dekrüpteerimisvõti ei pea olema URL -is?
• Kas see teenus ei edasta linki saajale?
• Kuidas saan selle teenuse kasutamisel oma privaatsust nii palju kui võimalik kaitsta?
• Mis siis, kui ma ei usalda Ameerika Ühendriike?
• Mida teete rämpsposti vältimiseks?
• Miks on võimalus nõuda vastuvõtjalt CAPTCHA täitmist?
• Kes seda teenust osutab ja miks on see tasuta?
• Kuidas ma saan ülaltoodud küsimustele vastuseid usaldada?

Miks on see sait halvasti tõlgitud? ⎃

Vabandust, aga praegused autorid räägivad ainult inglise keelt. Vajame abi selle projekti tõlkimisel teistesse keeltesse. Lihtsa ja odava vahendina selle teenuse kättesaadavaks tegemiseks inimestele, kes ei räägi inglise keelt, kasutame masintõlget. Tulemused on tavaliselt vastuvõetavad, kuid võivad põhjustada kummalisi sõnastusi või isegi täiesti ebatäpset teavet. Saate aidata meil kõigi jaoks kasutuskogemust paremaks muuta. Palun saatke õige tõlge .

Kui turvaline see teenus on?

Oleme võtnud palju meetmeid, et muuta see teenus ettenähtud otstarbeks turvaliseks. Enne nende sammude läbimist on oluline mõista järgmist.

• Kuigi me ei saa teie sõnumit otsast lõpuni krüptimise tõttu lugeda , sisaldab loodud vaikelink dekrüpteerimisvõtit ; ja seetõttu saavad kõik, kellel on link, teie sõnumit lugeda - sealhulgas kõik, kes suudavad selle pealt kuulata.
• See teenus on lihtsalt vahend, mis võimaldab saata vähem püsivat suhtlust (st krüptitud sõnumeid, mis allalaadimisel kustutatakse) traditsiooniliste edastuste kaudu, mis on püsivamad (nt e-post/tekst/kiirsõnumid/veebisait/jne). See tähendab, et kõik valitud transpordile (st e -postile) omased turva-/privaatsusprobleemid päritakse selle tööriista kasutamisel .
• Saadaval on ka teisi lahendusi, mis pakuvad teie vajadustest ja keskkonnast tulenevalt paremat turvalisust. Peamine eelis, mida see teenus teistega võrreldes pakub, on vastuvõtjale palju madalamad nõuded (st nad vajavad lihtsalt veebibrauserit ja võimalust lingil klõpsata).
• Kuigi vaikeseade on sõnumite kustutamine allalaadimisel, ei takista miski adressaati koopiat tegemast . Pidage meeles, et see kehtib kõigi ajutiste sõnumilahenduste kohta - kui vastuvõtja näeb sõnumit, saab selle kopeerida.
• Kogu Interneti -side võib teie privaatsust kahjustada - kauplete mugavuse huvides mõne turvalisusega.
• Veeb on mõne põhiprobleemi tõttu turvalisuse osas keeruline keskkond - see kehtib kõigi veebisaitide kohta. Veebipõhine olemine muudab aga meie väite, et me ei saa teie sõnumit lugeda, kontrollimise palju lihtsamaks .
• See veebisait ja selle andmebaas on majutatud Ameerika Ühendriikides. Sisu edastamise võrgustikuna kasutame Ameerika Ühendriikides asuvat ettevõtet Cloudflare (kogu veebiliiklus läbib selle võrgu).

Meie eesmärk on pakkuda seda teenust viisil, mis pakub võimalusi teie privaatsuse ja turvalisuse suurendamiseks. Siin on mõned sammud, mida oleme võtnud teie teabe kaitsmiseks.

• Teenuse kasutamine ei nõua isiklikke andmeid (nt nimi/e -post/telefon/jne). Puudub kontosüsteem (st sisselogimine/parool/jne); seetõttu ei saa andmete rikkumine seda teavet lekkida.
• Kogu sõnumi sisu on otsast lõpuni krüptitud . Teisisõnu, dekrüpteerimisvõtit ei saadeta meile kunagi. Seetõttu ei ole meil ega kellelgi teisel andmebaasi valdajal vahendeid sõnumite sisu dekrüpteerimiseks ja vaatamiseks.
• Iga meie andmebaasi kirje eluiga on 1 minut kuni 2 nädalat (vaikimisi 1 nädal). Kui see aeg on möödas, kustutatakse kirje automaatselt. Seetõttu kustutatakse kogu meie andmebaasis olev teave varsti pärast selle loomist .
• Hoiame alles viimase 24 tunni veebiserveri logisid . Kogu andmebaasi salvestatud IP -teave on turvaliselt räsitud, mistõttu on esialgse IP väljavõtmine võimatu.
• Kogu seda teenust kasutav kood on avatud lähtekoodiga ja ülevaatamiseks saadaval. Saate hõlpsasti näha krüpteerimist käivitavat koodi - see on sihilikult lühike, lühike ja kommenteeritud.
• Turvalisuse tugevdamiseks võetakse kasutusele mitmeid tehnilisi ettevaatusabinõusid - mõned neist hõlmavad järgmist:
  • Kogu see veebisait peale/api on staatiline ega toeta lehtedel serverikoodi (nt PHP/JSP/ASP/jne).
  • Sõnumite kogu sisu krüptimiseks kasutatakse brauseri osaks olevat Web Crypto API -d.
  • TLS -i kasutatakse teie brauseri ja meie serverite vahelise suhtluse krüptimiseks. See aitab tagada, et koodi ei saa edastamisel kinni pidada ega muuta. TLS 1.3 on toetatud, kuid toetame ka vanemate seadmete TLS 1.2. TLS -i vanemad versioonid on keelatud, kuna need pole nii turvalised.
  • Sertifikaatide läbipaistvuslogisid jälgitakse sertifikaatide vigade osas. Lisaks avaldame sertifitseerimisasutuse volituse (CAA) poliitika, et vähendada soovimatute või pahatahtlike sertifikaatide väärkasutamise ohtu.
  • Kasutame HTTP range transpordi turvalisust (HSTS) tagamaks, et brauserid suhtlevad alati meie serveritega TLS -protokolli kasutades. Lisaks kaasame oma domeenid eellaadimise loenditesse .
  • Saitideüleste skriptide (XSS) rünnakute vältimiseks rakendatakse ranget sisu turbepoliitikat .
  • Kasutades Cross-Origin Resource Policy , et Cross-Origin paigaldaja Policy ja Cross-Origin avaja Policy , me keelata rist päritolu koodi, et aidata leevendada spekulatiivne pool-kanali eest nagu tont ja Meltdown. See pakub kaitset ka muudest päritoludest pärit pahatahtlike taotluste eest, eraldades sirvimiskonteksti ainult sama päritoluga dokumentidele.
  • Me kasutame lubade eeskirju, et takistada brauseril laadimast ressursse, mis võivad teie privaatsust kahjustada, näiteks teie asukoht, veebikaamera, mikrofon jne.
  • DNSSEC-i kasutatakse kõigis meie domeenides, et aidata leevendada DNS-põhiseid MITM-rünnakuid.
  • Võtame serveri turvalisuse tagamiseks mitmeid ettevaatusabinõusid.
  • Kolmanda osapoole koodi ei laadita (st jQuery) ja ressursse on laaditud väga vähe (jätkake ja avage arendustööriistade vahekaart Võrk kontrollimiseks) - see vähendab auditeerimiseks vajalikke jõupingutusi. Erandiks on see, kui nõutakse CAPTCHA -d - see laadib hCaptchast kolmanda osapoole koodi. Kuid hCaptcha kood laaditakse oma URL -ile oma CSP -reeglite sees ja sellel pole kunagi juurdepääsu sõnumiga seotud asjadele.
  • MITM-rünnakute eest kaitsmiseks on saadaval brauserilaiendid .

Miks ma sain siia lingi sõnumi dekrüpteerimise võimalusega?

Vabandame, kui selles tõlkes on vigu. See teenus edastab lihtsalt krüptitud sõnumi ühest punktist teise ja sa oled adressaat. Sõnum kustutatakse peagi. Selle teenuse operaatoritel pole võimalust sõnumi sisu lugeda. Tavaliselt kasutab keegi seda teenust, kui ei soovi, et sõnumi sisu jääks erinevatesse andmebaasidesse/seadmetesse/teenustesse/failidesse/jne. nagu see on tüüpiline e-kirja/kiirsõnumi/teksti/jne saatmisel. Kui otsustate dekrüpteerida, pidage meeles järgmist.

• Tõenäoliselt kustutatakse sõnum kohe pärast selle dekrüpteerimist teie seadmesse saatmist. See tähendab, et pärast sõnumi dekrüpteerimise nupu klõpsamist pole meil enam koopiat, mille saaksime teile hiljem uuesti saata.
• Kustutame süstemaatiliselt kogu saadud teabe. Sõnumid kustutatakse ühe minuti kuni kahe nädala jooksul pärast selle loomist - olenemata sellest, kas sõnum on kunagi dekrüpteeritud. Teisisõnu, kui teil on vaja sõnumit lugeda, ärge oodake selle dekrüpteerimist liiga kaua.
• Saatja usub tõenäoliselt, et sõnumi sisu tuleks käsitleda ettevaatlikult. Nad võisid isegi märkida, et ei soovi koopiaid teha. Palun austage nende soove.
• Kui teilt küsitakse sõnumi dekrüpteerimiseks parooli, ärge sulgege brauseriakent/vahekaarti. Selle loendi esimese täppipunkti kohaselt ei saa me tõenäoliselt hiljem teist koopiat saata. Jätke brauseriaken/vaheleht avatuks, kuni saate parooli sisestada. Kui sisestate vale parooli, küsitakse teilt uuesti. Parool tuleb sisestada täpselt. Pidage meeles, et erinevate keelte ja paroolinõuete rahuldamiseks aktsepteerime paroolides palju erinevaid märke.

Kas kustutate kõik sellele saidile saadetud?

Meie prügikasti logo järgi ... kõik kustutatakse kohe pärast selle kättesaamist. Kõigi kustutamine on automatiseeritud - see on kirjutatud serverisse. Mõelge sellele nii - esitatud on kahte tüüpi teavet:

• Krüptitud sõnumid, mille sisu meil pole võimalik dekrüpteerida
• Muu teave, mis on omane mis tahes veebis esitamisele (nt teie IP -aadress jne)

Sõnumite puhul saate kontrollida, millal me need kustutame, täpsustades:

• Kui kaua peaksime sõnumit säilitama, kui keegi seda ei tooda (vahemikus 1 minut kuni 2 nädalat - vaikimisi 1 nädal).
• Mitu korda sõnumit alla laaditakse (vahemikus 1 kuni 100 korda - vaikimisi 1 kord)

Vaikimisi kustutatakse kõik sõnumiga seotud asjad pärast seda, kui need on üks kord alla laaditud või kui need on 1 nädala vanused - olenevalt sellest, kumb juhtub varem. Mis tahes muu teabe kustutamisel, mis on omane veebis millegi esitamisele (nt teie IP -aadress jne), ei anna me teile mingit kontrolli selle üle, millal ja kuidas see kustutatakse - me lihtsalt kustutame selle iga 24 tunni järel .

Miks seda teenust kasutada?

See teenus on tööriist, mis aitab muuta teie saadetud/vastuvõetud sõnumeid vähem püsivaks. Suurem osa sellest, mida Internetis suhtlete (vestlused, tekstid, e -kirjad jne), salvestatakse ja kustutatakse harva. Sageli, kui midagi kustutate, ei kustutata seda tegelikult, vaid märgitakse kustutatuks ja teile enam ei kuvata. Teie kogu side koguneb aasta -aastalt andmebaasidesse ja seadmetesse, mille üle te ei saa kontrolli. Paratamatult häkkitakse ühte või mitut teie suhtlust salvestavat organisatsiooni/inimest/seadet ja teie teave lekib. See probleem on nii levinud, et nüüd on palju veebisaite, mis jälgivad ohustatud organisatsioone ja lekitavad kasutajaandmeid. Otsast lõpuni krüptitud ajutised sõnumid on lihtne lahendus, mis aitab muuta osa teie suhtlusest vähem püsivaks. Iga sellele saidile saadetud sõnumi eluiga on 1 minut kuni 2 nädalat-pärast selle aja möödumist sõnum kustutatakse. Lisaks on vaikeseade kustutada kõik sõnumid, kui adressaat on need alla laadinud. Lisaks krüpteeritakse kõik sõnumid teie seadmest adressaadi seadmesse. Täieliku krüptimise kasutamise peamine eesmärk on kaotada meie võime lugeda kõiki saadetud sõnumeid, kõrvaldades seeläbi osa usaldusvajadustest. Lõpptulemus on see, et nüüd on lihtne saata krüpteeritud sõnum lihtsa lingi kaudu. See teade kustutatakse kas vahetult pärast saatmist või allalaadimisel. Te ei pea spetsiaalset tarkvara installima/konfigureerima. Te ei pea kontot looma ega isiklikku teavet esitama. Saaja ei pea olema teie kontaktide hulgas ega isegi sellest teenusest teadlik - ainus nõue, et ta saaks lingil klõpsata.

Kas see on sõnumiteenus?

Ei. See teenus on loodud täiendama olemasolevaid sõnumside teenuseid, nagu kiirsõnumid/e-post/tekst/jne. lisades võimaluse vältida saadetud sõnumite pikaajalist salvestamist. Me ei edasta loodud linki saajale .

Millised on kavandatud kasutusjuhud?

Millised on siis stsenaariumid, kus on asjakohane seda teenust kasutada? Kuigi igaühel on oma privaatsuse ja turvalisuse osas erinevad vajadused ja nõuded, olen isiklikult leidnud sobiva kasutusjuhuna järgmised stsenaariumid:

• Olete kohaliku veebifoorumi kaudu suhelnud selle piirkonna mägirattaradade kohta ja kohtunud mõnikord foorumi inimestega, et koos uusi radu vaadata. Keegi foorumist soovib teid sel nädalavahetusel teie juurde tulla, et ühiskasutusse anda. Te ei soovi, et teie koduaadress istuks selle veebisaidi foorumi andmebaasis igavesti. Lihtsalt saatke aadress selle teenuse kaudu - link on see, mis asub veebisaidi foorumi andmebaasis, kuid kui adressaat on selle lugenud, kustutatakse sõnum/aadress.
• Peate saatma oma vennale oma Netflixi sisselogimisandmed, sest õetütar ajab ta COVID -i lukustuse tõttu hulluks ja tal pole endiselt oma kontot. Te ei hooli sellest sisselogimisest liiga palju, kuid teie vend on eriti halb selles, mida ma lihtsalt nimetan "digitaalseks hügieeniks", ning tal on olnud palju katseid rikutud sisselogimiste ja pahavaraga. Hilisemad katsed panna teda oma tegu koristama ja isegi turvaliste sõnumite installimine talle ebaõnnestusid. Lihtsalt tekstisõnumi kaudu saatmine on ilmselt parim valik (kahjuks), kuid teil on ebamugav, kui see sisselogimine tema sõnumite ajaloos istub varasema kogemuse tõttu. Selle teenuse kasutamine sisselogimise saatmiseks tekstisõnumis oleva lingi kaudu rahuldab, et sisselogimine ei lase vestlusajaloos igavesti hangoutis olla.
• Töötate mõnikord kontoris, kus on palju ühisüürlasi, kes tulevad ja lähevad igal ajal. WiFi -ühendus on saadaval, kuid parooli pööratakse iga nädal, kuna kuritarvitamisega on probleeme. Paljud üürnikud küsivad e -kirju/teksti, milles küsitakse WiFi parooli, kuigi see on vastuvõtus, sest enamik ei sisene eesmise peasissekäigu kaudu. Seda teenust kasutades saab kontorihaldur saata WiFi -parooli e -kirja/tekstivastuse lingi kaudu ja ei lase paroolil jääda ning lubab ka vastuvõtjal parooli kohe kopeerida, kasutades kopeerimisnuppu, mis on mobiilseadmetes vähem kohmakas.
• Üks teie hostimisteenuse pakkujatest küsib teilt teavet teie teatatud serveri kohta, millel on märke kõvakettast, mis näib halvasti toimivat. Osa vajalikku teavet on natuke tundlik - te ei soovi, et see jääks igaveseks nende kasutatavasse kolmanda osapoole piletisüsteemi. Seda teenust kasutades saate teabe saata tugiteenuste tehnikutele, ilma et see piletisüsteemis asuks. Kuna mitmel tehnikul võib tekkida vajadus viidata teabele mitu korda, seadistage otse-eetrisse lugemiseks suurem kui 1 (st võib-olla 20), et sõnumit esimesel allalaadimisel ei kustutataks.
• Peate teisele Redditi kasutajale privaatsõnumi andma, et nad teaksid teie telefoninumbrit, et nad saaksid teile helistada. Reddit, nagu paljud teised teenusepakkujad, on varem kasutajateavet lekkinud ja te ei soovi, et teie telefoninumber istuks Redditi andmebaasis aastaid kuni järgmise lekkeni. Selle teenuse kaudu saatke lihtsalt oma telefoninumber.

Milleks seda teenust kasutada ei tohi?

Kõigil käesolevas KKK -s selgitatud põhjustel ei tohiks seda teenust kasutada väga tundliku teabe jaoks. Allpool on mõned näited selle kohta, mida mitte teha:

• Ärge kasutage seda teenust, et muuta sobimatu sõnumiedastus "turvalisemaks". Kuna vaikeseade on lisada dekrüpteerimisvõti sõnumit lugevasse URL -i, saavad seda lugeda kõik, kellel on link. Nagu eespool mainitud, päritakse selle tööriista kasutamisel kõik valitud transpordile (st tekstile) omased turva-/privaatsusprobleemid. Näiteks kui te ei arvestaks kunagi e -posti kasutamist konkreetse teabe saatmiseks selle tundliku iseloomu tõttu, siis ei tohiks te seda teenust e -kirja selle osa "turvamiseks" kasutada.
• Ärge kasutage seda teenust tagamaks, et sõnumist ei tehtaks koopiat. See, et kustutame krüpteeritud sõnumi koopia kohe pärast allalaadimist ja muudame selle kopeerimise keerulisemaks, ei tähenda, et sõnumit ei saa kopeerida. Mis saab siis, kui adressaat teeb oma ekraanilt foto? Mis siis, kui nad sõnumi lihtsalt üles kirjutavad? Lõppkokkuvõttes, kui adressaat saab sõnumit lugeda, saab koopia teha.
• Ärge kasutage seda teenust tagamaks, et sõnumit ei saaks teie juurde tagasi saata. See teenus sõltub sõnumi edastamiseks ühest punktist teise teise sõnumi edastamise pakkujalt (nt e -post, vestlus jne). Kasutatav sõnumitransport võib väga hästi sõnumi teile tagasi tuua.
• Ärge kasutage seda teenust, et saata midagi, mille saatmist soovite keelata. See, et sõnum ise kustutatakse, ei tähenda, et kustutatud sõnumile viitav link kustutatakse. Kui saadate oma sõbrale e -kirja ja osal sellest e -kirjast on link selle teenuse sõnumile, saab juhuslik lugeja teada, et sõnumis oli midagi muud. Isegi kui lingile viidatud sõnum on ammu kadunud - on selge, et saadeti midagi muud ja teie saatsite selle oma sõbrale.

Miks mitte kasutada lihtsalt PGP/Signal/OMEMO/Matrix/jne?

Kui teate inimest, kellele soovite saata turvalisi ajutisi sõnumeid, saatke neid sageli, oodake vestlussarnast liidest ja/või võite eeldada, et adressaat omab vajalikku tarkvara ja teab, kuidas seda kasutada, pole see veebisait tõenäoliselt see parim lahendus. Seal on suurepäraseid võimalusi, mis on avatud lähtekoodiga, toetavad E2EE-d, mitte veebipõhiseid ja isegi mõned, näiteks Signal, mis toetavad ka ajutisi sõnumeid. Isiklikult kasutan lähedaste sõprade ja perega vestlemiseks privaatset XMMP -serverit ja OMEMO -d. Selle saidi kasutamine võib olla optimaalne ainult siis, kui te ei tea, millist tarkvara adressaat kasutab, ei tea tema telefoninumbrit/kontaktkäepidet ega tea nende tehnilist oskust (kuid eeldage, et nad saavad lingil klõpsata), või eelistate lihtsalt hoida saadetavat sõnumit väljaspool sidetransporti.

Millised nõuded on olemas?

Vajalik on kaasaegne ja ajakohane veebibrauser, mis rakendab nõuetekohaselt standardeid, sealhulgas Web Crypto API. Näited: Chrome, Firefox, Edge ja Safari (umbes 2020 või hiljem).

Kas adressaat saab sõnumist koopia teha?

Jah. Isegi kui sõnum võib allalaadimisel end kustutada, saab adressaat seda siiski vaadata. Kui vastuvõtja saab sõnumit täielikult vaadata, saab sellest koopia teha - see kehtib kogu side kohta. On võimalus muuta saaja koopia tegemine raskemaks. Sel juhul rakendatakse kopeerimiseks kolme takistust:

• Nupp Kopeeri eemaldatakse. See nupp lubab vaikimisi adressaadil kopeerida kogu sõnumi oma lõikelauale.
• Nupp Laadi alla. See nupp lubab adressaadil vaikimisi sõnumi tekstifailina alla laadida.
• Võimalus valida tekst sõnumikastist eemaldatakse.

Need kopeerimiskaitsed on aga nõrgad, kuna neist saab mööda minna. Samuti saab adressaat alati sõnumist lihtsalt ekraanipildi või foto teha.

Kas isikuandmeid kogutakse?

Me ei toeta kasutajakontosid (st kasutajanime/parooli). Me ei kogu teavet, mis võib teid tuvastada (nt nimi/aadress/e -post/telefon). Võimalik, et teie saadetavas sõnumis võib olla mõni isiklik teave, kuid see on krüptitud ja meil pole võimalust seda lugeda. Täieliku teabe saamiseks vaadake meie privaatsuspoliitikat.

Millist teavet logitakse?

Meie veebiserver säilitab kogu veebitegevuses kuni 24 tundi tavalist logivormingut . See hõlmab HTTP -klientide täieliku IP -aadressi logimist. 24 tunni pärast kustutatakse see logitud teave automaatselt. Kõik aadressile /api saadetud päringud postitatakse, mis tähendab, et veebiserver ei logi kunagi sõnumipõhist teavet. Lisaks logitakse tõhusalt sisse kogu andmebaasi salvestatud teave. Kõigil andmebaasi kirjetel, sealhulgas anonüümseks muudetud ja räsitud IP -aadressidel, on aegumisaeg (TTL), mille järel need automaatselt kustutatakse. TTL -i aegumisajad varieeruvad 1 minutist 2 nädalani.

Mida teete serverite turvalisuse tagamiseks?

Serveri turvalisus on ilmselge mure. Selle turvalisuse tagamiseks keskendume kahele peamisele valdkonnale:

• Esiteks salvestame võimalikult vähe võimalikult vähe aega, et serveri ohtu sattumisel ei kahjustaks mis tahes teabe leke meie kasutajaid. Kõik andmebaasi salvestatud sõnumid on krüptitud ilma nende dekrüpteerimiseta. Pole salvestatud midagi, mis lingiks sõnumeid meie kasutajatega, kuna me ei kogu oma kasutajatelt isiklikku teavet. Kõigi andmebaasi kirjete aegumisaeg (TTL) on vahemikus 1 minut kuni 2 nädalat - pärast selle aja möödumist kustutatakse kirje automaatselt. Seetõttu kustutati valdav enamus kunagi andmebaasis olnud teavet juba ammu.
• Võtame mitmeid meetmeid, et vältida kompromisse ja ohjeldada võimalikke kompromisse:
  • Veebiserverit nginx käitatakse isoleeritud konteineris õigusteta kasutajana, ilma kirjutamisõiguseta muule kui logidele. Konteiner töötab oma SELinuxi kontekstis, vältides veelgi failisüsteemi muudatusi või konteinerist hõlpsat põgenemist. PHP/ASP/JSP/jne tugi puudub. - teenindate lihtsalt staatilisi ressursse.
  • Käivitav kood /api on kirjutatud Go -sse, mis peaks muutma selle puhvri ületäitumise haavatavuste suhtes üsna vastupidavaks (tavaline rünnakuvektor). Go protsess töötab ka isoleeritud konteineris kui eelisõigusteta kasutaja, kellel pole kirjutamisõigust muule kui andmebaasile. Konteiner töötab oma SELinuxi kontekstis, vältides veelgi failisüsteemi muudatusi või konteinerist hõlpsat põgenemist. Andmebaas, badgerdb , on Go protsessi osa (puudub väline andmebaasisõltuvus/protsess).
  • Serveri kompromissi peamine oht on see, et ründaja võib faile muuta viisil, mis ohustab meie kasutajate privaatsust/turvalisust. Spetsiaalne protsess jälgib kõiki veebisaidi faile muudatuste suhtes ja hoiatab meid kohe, kui midagi muutub.
  • Kogu administraatorijuurdepääs on kaitstud ja piiratud volitatud võrkudega.

Millised turvariskid selle saidi kasutamisel esinevad?

Enne mõnede nende riskide konkreetset käsitlemist arvan, et poolühike analoogia võib aidata kokku võtta mis tahes Interneti-side kasutamise riske. Kujutage ette, et mis tahes süsteem on nii turvaline kui ahela nõrgim lüli. Kujutage nüüd ette stsenaariumi, kus suletud ruumis on kaks inimest, kellel pole võimalust midagi näha, kuulda ega salvestada. Üks edastab sõnumi teisele, kes seda lugedes selle ära põletab. Kui keegi väljaspool seda ruumi soovib saada juba edastatud sõnumit, on see raske. Milline on sõnumi kättesaamiseks kõige nõrgem lüli? Valida pole nii paljude linkide vahel - see on üsna lühike kett. Kujutage nüüd ette, et kui saadate Internetis sõnumi, et ahelas on vähemalt miljon lüli - paljud neist nõrgad - paljud neist täielikult teie kontrolli alt väljas - ja see on reaalsus.

Krüptimise kasutamine võib aidata ülaltoodud miljoni lingiprobleemi lahendamisel ja on lihtne meelitada mõtlema, et hästi kavandatud E2EE-süsteemid pakuvad lõpplahendust. See mõtlemine võib aga teid hätta jätta, sest ründaja läheb tavaliselt lihtsalt süsteemi nõrgematele lülidele järele. Näiteks on ilmselt palju lihtsam oma telefon või arvuti üle võtta ja sisestuslogija seadistada nii, et see lihtsalt loeks kõike, mida sisestate, kui krüptitud sõnumite üle trakkimise. Lõpptulemus on see, et kui minu ülesandeks oleks elutähtsa/kriitilise tähtsusega saladuse edastamine, kasutaksin ma viimase võimalusena ainult elektroonilist sidet.

Seega on igasuguse suhtluse kasutamisel turvariskid, kuid te kasutate siiski veebibrauserit panganduseks, asjade ostmiseks, e -kirjadeks jne. See on vastuvõetav oht tohutute mugavuste jaoks. Tõesti küsimus on selles ... millised turvariskid on selle saidi jaoks pool-spetsiifilised? Mõni tuleb meelde:

• Võib -olla on selle teenuse suurim ja ainulaadne oht see, et meie kasutajad ei kasuta head otsust, kui nad otsustavad, mis on sobiv saata ja mis ei ole saatmiseks sobiv . Mõnikord võib vahe "mul on mugav seda teavet meilisõnumiga saata - ma soovin, et e -kiri pärast lugemist kustutataks" ja "ma ei tahaks seda teavet meilitsi saata - e -post on sobimatu edastamine".
• Alati on oht, et selle saidi operaatorid on tegelikult halvad tegijad, kes meelitavad inimesi teenust kasutama mõne tumeda lõpp-eesmärgi saavutamiseks. Me puutume kokku usutavalt usaldusväärse teenusega - tehke kõik lihtsaks ja tasuta - meelitage teenust kasutama palju inimesi - ja seda kogu aeg kurjalt. Bwhahahahaha! Kuidas sa saaksid meid usaldada?
• On tõenäoline, et meie koodil on vigu, mis mõjutavad turvalisust või me lihtsalt ei mõelnud asju hästi ja meie puudused seavad nüüd meie kasutajad üleliigsele ohule. Loodame, et mitte - aga me ei saa seda välistada.
• Erinevalt tehnoloogilistest titaanidest (st Google/Facebook/Whatsapp), kellel on tohutult palju võrku sisse ja välja voolavate terabitite krüpteeritud andmeid, kus on lihtne lasta privaatsel suhtlusel seguneda muu liiklusega, eraldiseisvad tsentraliseeritud teenused (st signaal, Telegram ja meie) paistavad silma. Võrguettevõtjal või isegi suurel organisatsioonil/valitsusel on lihtne näha, et IP -aadress xxxx kasutab XYZ -teenust.
• Kuigi see ei ole selle saidi jaoks spetsiifiline, kuna seda saab kasutada mis tahes veebisaidi vastu, on keset rünnakuid (MITM) asjakohane probleem .

Mida teete keset rünnakuid (in-in-the-middle, MITM)?

Kõik veebisaitide kasutajad võivad potentsiaalselt sattuda MITM -i rünnaku ohvriks - see sait ei erine selles osas kõigist teistest veebis olevatest. MITM -rünnak on see, kui ründaja suudab pealtkuulata ja muuta suhtlust kasutaja brauseri ja saidi veebiserveri vahel. See võimaldab ründajal muuta saidi mis tahes koodi/sisu, nähes lõppkasutajale siiski sait, millega nad on harjunud. Võtame mõned meetmed, et muuta MITM -i rünnak raskemaks:

• HSTS -i kasutatakse brauserite sundimiseks ainult TLS -i kaudu ühenduse loomiseks. Meie server on konfigureeritud ignoreerima muud kui TLS-i suhtlust peale ümbersuunamise. Toetatakse ainult TLS 1.2 või uuemat.
• DNSSEC -i kasutatakse meie domeeni tsooni allkirjastamiseks. See võib peatada DNS -i võltsimise rakendatud MITM -rünnakud, kui kasutaja kasutab DNSSEC -teadlikku rekursiivset lahendajat.
• Kasutame teenust, et jälgida meie domeenile viitavaid volitamata TLS -sertifikaate väljastavaid sertifitseerimisasutusi.
• Oleme avaldanud brauserilaiendid, mis toetavad sõnumite krüptimist lõppkasutaja seadmesse salvestatud koodi abil.

Kuid MITM -i rünnak on alati võimalik - eriti kui ründaja kontrollib võrgu/avaliku võtme infrastruktuuri, nagu see oleks suurte/võimsate organisatsioonide või valitsuste puhul. Pakume brauserilaiendeid, mis aitavad maandada mõningaid MITM -i riske.

Milliseid eeliseid pakuvad brauseri laiendused?

Pakume brauserilaiendeid täiendava mugavuse ja täiendava turvalisuse tagamiseks. Lihtsamalt öeldes ... Laiendused muudavad ajutiste sõnumite saatmise kiiremaks ja lihtsamaks. Turvalisust suurendatakse ka seetõttu, et kogu sõnumi krüptimiseks ja ettevalmistamiseks kasutatav kood salvestatakse laiendusse kohapeal. Kuna kood salvestatakse kohapeal, pakub see saatjale teatud kaitset MITM -rünnakute eest . Siiski tasub märkida, et kuigi laiendused pakuvad rohkem kaitset MITM -i rünnaku eest, mis kahjustab sõnumi sisu, võib MITM -i rünnak siiski olla tõhus (st määrata saatja IP -aadress, kui see ei kasuta TOR/VPN/jne).

Kuidas ma saan kindlalt teada, et kõik esitatu on otsast lõpuni krüptitud?

Erinevalt paljudest teistest populaarsetest otsast lõpuni krüptitud (E2EE) vestlusklientidest on üsna lihtne näha, mis meile sõnumi saatmisel meile saadetakse. Allpool olev videoõpetus näitab, kuidas kinnitada, et meil pole võimalust serverisse saadetud sõnumeid dekrüpteerida.

Samuti, kui järele mõelda, ei ole meil mingit kasu sõnumite dekrüpteerimisest, kui me pole salajased agentuurid, kes üritavad tundlikke sõnumeid koguda, sest see võime tekitab meile ainult probleeme. Me ei taha isegi sõnumeid salvestada - nende edastamine on siiski vajalik kurjus.

Kuidas otsetee krüptimine sellel saidil töötab?

Praegu kasutame sümmeetrilist krüptimist (AES-GCM 256bit) paroolidest tuletatud võtmetega (vähemalt 200 000 kordust PBKDF2 + SHA-256). Asümmeetrilist krüpteerimist ei kasutata, sest on olemas nõuded 1) saatjale, kes alustab suhtlust 2) saatjale ja adressaadile, kes pole samal ajal võrgus ja 3) puudub teave adressaadi kohta ja 4) püüame hoida asjad tõeliselt lihtsad ja võtmehaldus on keeruline. Standardset veebikrüpto API -d kasutatakse kõigi krüptograafiliste funktsioonide, sealhulgas RNG jaoks. Põhimõtteliselt juhtub see järgmiselt:

1. Lõppkasutaja sisestab tekstisõnumi ja saab määrata mitu valikut, sealhulgas parooli.
2. Võtme leidmiseks luuakse turvaline parool. Kui kasutaja on määranud parooli, kombineeritakse see loodud parooliga.
3. Vajaliku arvu PBKDF2 + SHA-256 iteratsioonide saamiseks tehakse API kõne ( see samm on vajalik rämpsposti kontrollimiseks )
4. Tekib 32 -baidine sool
5. Võti pärineb soolast ja paroolist
6. Genereeritakse 12 -baidine initsialiseerimisvektor (IV)
7. Sõnum krüpteeritakse võtme ja IV abil.
8. Korduste arv, sool, IV ja šifreeritud tekst saadetakse serverisse (koos mõne muu teabega, näiteks TTL, RTL jne)
9. Server tagastab sõnumile viitava juhusliku ID
10. Seejärel esitab brauser lõppkasutajale lingi, mida saab seejärel adressaadiga jagada. Kogu teave sõnumi kohta hoitakse URL -i räsikomponendis ja seetõttu ei saadeta seda tavalise GET -päringu ajal serverisse.
11. Linki jagatakse adressaadiga.
12. Saajalt küsitakse, kas nad soovivad sõnumit dekrüpteerida ja vaadata.
13. Kui adressaat valib sõnumi vaatamise, esitab brauser päringu sõnumi ID täpsustamiseks.
14. Kui saatja nõuab CAPTCHA täitmist, suunatakse adressaat teisele URL -ile, et tõestada, et ta on inimene (pärast läbimist suunatakse see tagasi).
15. Server saadab krüptitud sõnumi ja kustutab selle sõnumi vaikimisi, kui see on reaalajas loetav (RTL).
16. Saaja dekrüpteerib sõnumi ja küsib vajadusel parooli.

See seadistus on äärmiselt lihtne ja pakub sõnumite krüpteerimist saatja seadmest adressaadi seadmesse, kuid loomulikult puuduvad mõned garantiid, mida asümmeetriline krüptimine võib pakkuda. Igaüks, kellel on link, saab sõnumi avada vaikestsenaariumi korral - see rõhutab lingi jaoks sobiva transpordi (nt e -posti/vestluse/teksti/jne) kasutamise tähtsust - see on saatja teha.

Kas dekrüpteerimisvõti võib olla URL -is?

Jah. Kui parooli ei kasutata, saavad sõnumit lugeda kõik, kellel on link. See mõjutab ilmselgelt turvalisust, sest kui lingi saatmiseks kasutatud meetodit on võimalik kinni püüda, saab sõnumi pealt kuulata. Kõik lahendused selle probleemi kõrvaldamiseks toovad kaasa täiendavaid samme ja keerukust, mis mõjutavad kasutajakogemust (st asjad tuleb enne sõnumi saatmist mõlemas otsas seadistada). Lõppkokkuvõttes, kui kaks osapoolt hakkavad üksteisele sageli sõnumeid saatma, on olemas paremad lahendused, eeldades, et mõlemad pooled saavad nende lahendustega hakkama.

Kuid dekrüpteerimisvõti ei pea olema URL -is?

Õige. Sõnumi autor saab sõnumi kaitsmiseks määrata parooli. Seda parooli kasutatakse salajase võtme tuletamiseks, mis ei kuulu URL -i . Kui kasutatakse turvalist parooli ja see edastatakse adressaadile turvaliselt (või nad seda juba teavad), pakub see kaitset pealtkuulamise eest. Puuduseks on aga see, et adressaat peab parooli teadma ja õigesti sisestama. Siin on üks viis parooli saajale saatmiseks, mis pakub kaitset pealtkuulamise eest:

1. Krüpteerige vaikeseadetega sõnumis parool ja saatke see link adressaadile.
2. Kui adressaat lingil klõpsab ja sõnumi dekrüpteerib, ei tea nad, et keegi teine pole enne seda parooli saanud, kuna parooli sisaldav kiri kustutatakse pärast allalaadimist. Kui aga toimub aktiivne MITM -rünnak või kui teie seade või adressaadi seade on rikutud, on siiski võimalik, et teine osapool saab parooli hankida.
3. Kinnitage adressaadiga, et ta on parooli edukalt hankinud. Näiteks kui adressaat teatab teile, et kui ta läks parooli tooma, et kiri on juba kustutatud, siis teate, et keegi teine sai parooli enne adressaati ja seetõttu on parool rikutud ning seda ei tohiks kasutada.
4. Kasutades parooli, mille adressaat kinnitas omavat, saate nüüd saata sõnumi, kasutades krüpteerimiseks sama parooli.

Kas see teenus ei edasta linki saajale?

See on õige - me genereerime lingi ja jätame selle saatjale, kuidas seda saajale kõige paremini edastada. Selle teenuse eesmärk on pakkuda võimalust, mis pakub vähem püsivust olemasolevates sõnumite edastustes, nagu meil/vestlus/tekst/jne. Seetõttu eeldatakse, et meie loodud link, mis osutab ajutisele sõnumile, saadetakse olemasoleva sõnumiedastuse kaudu. Sellel on turvamõju, millest kasutajad peaksid aru saama. Võtame näiteks SMS -sõnumi, kuna see on üsna ebaturvaline suhtlusviis. Kui kasutate seda teenust vaikesätetega ajutise sõnumi saatmiseks, saavad kõik, kellel on link, sõnumit lugeda ja kaitset pealtkuulamise eest ei pakuta. See teenus pakub endiselt ajutist suhtlust, mis võib suurendada privaatsust ja turvalisust. Lisaks võidakse pealtkuulamise eest kaitsmiseks kasutada parooli.

Kuidas saan selle teenuse kasutamisel oma privaatsust nii palju kui võimalik kaitsta?

Nagu mujal käesolevas KKK -s arutatud, vaatamata sellele, et me teeme juba palju teie privaatsuse kaitsmiseks ja kuigi me ei kogu isiklikku teavet, esitame ja kogume osa logiga seotud teavet meie ja teised teie veebibrauseri abil. Siiski on mitmeid viise, kuidas oma privaatsust veelgi paremini kaitsta. Üks tasuta lähtekoodiga tarkvaral põhinev ja üsna hästi toimiv viis on kasutada Tor -brauserit . See brauser on loodud teie privaatsuse kaitsmiseks mitmel tasandil - sealhulgas Tor -võrgu kasutamisel . Meie sait on juba juurdepääsetav Tor -sibulavõrgu kaudu, mis tähendab, et meie saidile pääsemine Tor -i kaudu ei nõua väljumissõlme kasutamist, mis takistab väljumissõlme liikluse pealtkuulamist . Pidage siiski meeles, et isegi selle stsenaariumi korral näeb teie Interneti -teenuse pakkuja, et kasutate Torit - kuigi mitte milleks. Võite isegi luua ühenduse VPN -iga ja seejärel käivitada Tor -brauseri kahe anonüümsuskihi jaoks; pidage siiski meeles, et teie Interneti -teenuse pakkuja näeb endiselt, et kasutate selle stsenaariumi korral VPN -i - kuigi mitte milleks. Kui te ei soovi, et teie Interneti -teenuse pakkuja teaks, milliseid protokolle te kasutate, saate ühenduse luua suure avaliku WiFi -võrguga, nagu raamatukogu, kool jne, ja seejärel kasutada Tor -brauserit.

Mis siis, kui ma ei usalda Ameerika Ühendriike?

Meie serverid asuvad Ameerika Ühendriikides. Lisaks on meie CDN -i pakkuja Cloudflare Ameerika Ühendriikides asuv ettevõte. Oleme püüdnud kõrvaldada vajaduse usaldada meid või riiki, kus meie serverid asuvad, lihtsalt sellepärast, et me ei kogu isiklikku teavet, ei saa ühtegi kirja dekrüpteerida ja kõik kustutatakse kohe pärast selle saamist. Siiski võime mõista teatud usaldamatust, kuna see on veebipõhine ja eriti kui elate teatud riikides. Meil on mõned plaanid pakkuda võimalusi Islandil ja Šveitsis inimestele, kellel on raske USA -d usaldada. Palun andke meile teada, kas see kehtib teie kohta, sest me ei ole motiveeritud pakkuma alternatiive, kui pole tõelist nõudlust.

Mida teete rämpsposti vältimiseks?

Kui lubate kellelgi postitada sõnumi, mida saab lingi kaudu edastada, kutsute rämpsposti saatjaid. Selle probleemi lahendamine ei ole täiesti lihtne. Me ei soovi sõnumite saatmise käigus laadida kolmanda osapoole CAPTCHA -d mitmel põhjusel.

• Me vihkame CAPTCHA -sid - need võtavad aega ja on tüütud
• Kolmanda osapoole JavaScripti laadimine võib privaatsust ja turvalisust häirida
• Meie enda CAPTCHA käitamine tähendab, et registreerume lõputu löömismänguga
• Lõpuks võivad inimesed soovida, et saaksime selle teenusega API kaudu suhelda

Võimalik, et saaksime API probleemist lahti saada mõne API võtmesüsteemi abil, kuid siis peame koguma kasutajateavet, mida me ei taha teha. Samuti mis takistab rämpsposti saatjatel saada palju API võtmeid? Me ei saa sõnumeid uurida, et järeldada nende rämpsust (mis on parimal juhul väga problemaatiline), kuna peale sõnumite krüptimise on meil sõnumite sisu osas käepärane poliitika. Neid nõudeid arvestades kasutame rämpsposti vältimiseks kahte meetodit.

• Nõutavate PBKDF2/SHA-256 iteratsioonide arvu suurendamine
  Kõiki sõnumeid saab alla laadida vaid mõned korrad - see on rämpsposti saatjate jaoks ebameeldiv atribuut, kuna nad loodavad palju sõnumeid saata. Kuna rämpsposti saatja peaks iga rämpspostikampaania jaoks looma palju sõnumeid - oleme otsustanud muuta selle ülesande nii arvutuslikult kulukaks, et muuta selle teenuse kuritarvitamine rämpsposti jaoks ebameeldivaks ettevõtmiseks. See saavutatakse, jälgides sõnumeid postitavate võrkude arvu - mõõdetuna kogu võimaliku otsingu põhjal. Võrguteave ise on turvaliselt räsitud, nii et me ei saa räsist tõelist võrku järeldada. Kuna antud võrk postitab rohkem sõnumeid, suurendame järgmise sõnumi postitamiseks vajalike PBKDF2/SHA-256 iteratsioonide arvu. See toob väga kiiresti kaasa selle, et ühe sõnumi postitamiseks kulub palju protsessori aega. Loodetavasti on see meetod piisav rämpsposti kuritarvitamise piiramiseks ja samal ajal ei mõjuta tegelikke kasutajaid.
• Koguge kasutajatelt rämpsposti aruandeid, kui nad sõnumi toovad
  Kui kasutaja sõnumi alla võtab, on sõnumi all nupp „Teata rämpspostist”. Kui kiri on rämpspost, siis loodetavasti kulub mõnel selle nupu klõpsamiseks 3 sekundit. Kui saame rämpsposti teate, hoiatab see meid ja mõjutab ka antud võrgu nõutavaid PBKDF2/SHA-256 iteratsioone.

Kui teate, et rämpspostitajad kuritarvitavad seda teenust, esitage väärkasutuse teade .

Miks on võimalus nõuda vastuvõtjalt CAPTCHA täitmist?

Kuigi on tõsi, et meile CAPTCHA -d ei meeldi, tunnistame, et neil on eesmärk ja neil on aeg ja koht (vähemalt praegu). See on saatjal lihtne viis saada kindlus, et adressaat on inimene ja et automatiseeritud protsessid ei pääse sõnumile juurde.

Kes seda teenust osutab ja miks on see tasuta?

Oleme vaid paar kutti, kes seisid mõnikord silmitsi olukorraga, kus meil ei ole häid võimalusi privaatsuse kaitsmiseks. Sageli tulenes see suhtlemisest sõprade ja pereliikmetega, kes ei olnud oma seadmete ja teabe käitlemisel eriti ettevaatlikud. Teinekord tekkis see veebipõhiste foorumite (nt Reddit) või veebipõhiste tugisüsteemide kasutamisel. Leidsime mõned veebipõhised ajutised sõnumilahendused, kuid ükski ei pakkunud E2EE-d, mis tähendas, et me ei saa neid usaldada. Nii ehitasime just oma lahenduse ja otsustasime selle ära anda, et teised saaksid sellest kasu.

Kuidas ma saan ülaltoodud küsimustele vastuseid usaldada?

Tõepoolest, te ei tohiks ühtegi veebisaiti usaldada ainult sellepärast, et see ütleb teatud asju - tavaliselt on hea mõte väiteid kontrollida. Oleme püüdnud otsast lõpuni krüptimise abil eemaldada nõude usaldada meid nii palju kui võimalik. Näiteks on üsna lihtne kontrollida, et me ei saa ühtegi sõnumit lugeda, kuna need on krüptitud . Samuti oleme hoidnud selle saidi käitamise JavaScripti koodi väga lihtsana, et seda oleks lihtne lugeda ja mõista. Kogu koodi avatud lähtekoodiga muutmine võimaldab inimestel kontrollida, mis töötab; pidage siiski meeles, et serveri töötamise tõeliseks kontrollimiseks pole mingit võimalust. Kuigi on tõsi, et suur osa usalduse nõudest eemaldatakse otsast krüpteerimisega, on see siiski tegur, mida meie kasutajad kaaluvad, kui otsustavad seda teenust kasutada või mitte.