سوالات متداول
- چرا این سایت ضعیف ترجمه شده است؟ ⎃
- امنیت این سرویس چقدر است؟
- چرا در اینجا پیوندی با گزینه رمزگشایی پیام دریافت کردم؟
- همه موارد ارسالی به این سایت را حذف می کنید؟
- چرا از این سرویس استفاده می کنیم؟
- آیا این سرویس پیام رسانی است؟
- موارد استفاده در نظر گرفته شده چیست؟
- برای چه کارهایی نباید از این سرویس استفاده کرد؟
- چرا فقط از PGP / سیگنال / OMEMO / ماتریس / و غیره استفاده نمی کنید؟
- چه الزاماتی وجود دارد؟
- آیا گیرنده می تواند کپی از پیام را تهیه کند؟
- آیا اطلاعات شخصی جمع آوری شده است؟
- چه اطلاعاتی ثبت می شود؟
- برای امنیت سرورها چه کاری انجام می دهید؟
- هنگام استفاده از این سایت چه خطرات امنیتی وجود دارد؟
- در مورد حملات مرد در میانه (MITM) چه می کنید؟
- افزونه های مرورگر چه مزایایی را ارائه می دهند؟
- چگونه می توانم به طور قطع بفهمم که هر چیزی که ارسال شده از آخر به آخر رمزگذاری شده است؟
- رمزگذاری end-to-end در این سایت چگونه کار می کند؟
- رمز عبور رمزگشایی می تواند در URL باشد؟
- اما لزوما رمز عبور رمزگذاری در URL نیست؟
- این سرویس پیوند را به گیرنده تحویل نمی دهد؟
- چگونه می توانم در حین استفاده از این سرویس تا حد امکان از حریم خصوصی خود محافظت کنم؟
- اگر به ایالات متحده اعتماد نکنم چه می کنم؟
- برای جلوگیری از هرزنامه چه کاری انجام می دهید؟
- چرا گزینه ای برای نیاز به گیرنده برای تکمیل CAPTCHA وجود دارد؟
- چه کسی این سرویس را اجرا می کند و چرا رایگان است؟
- چگونه می توانم به پاسخ س questionsالات بالا اعتماد کنم؟
چرا این سایت ضعیف ترجمه شده است؟ ⎃
با عرض پوزش ، اما نویسندگان فعلی فقط انگلیسی صحبت می کنند. ما برای ترجمه این پروژه به زبانهای دیگر به کمک نیاز داریم. به عنوان یک روش ساده و ارزان برای در دسترس قرار دادن این سرویس در اختیار افرادی که انگلیسی صحبت نمی کنند ، ما از ترجمه ماشینی استفاده می کنیم. نتایج معمولاً قابل قبول است ، اما می تواند منجر به عباراتی عجیب یا حتی کاملاً نادرست شود. شما می توانید به ما در بهبود تجربه برای همه کمک کنید - لطفا ترجمه صحیح را ارائه دهید .
امنیت این سرویس چقدر است؟
ما اقدامات بسیاری را برای ایمن سازی این سرویس برای استفاده مورد نظر انجام داده ایم . قبل از انجام این مراحل ، درک موارد زیر مهم است:
- در حالی که به دلیل رمزگذاری انتها به پایان قادر به خواندن پیام شما نیستیم ، لینک پیش فرض تولید شده حاوی رمز / رمز رمزگشایی است . و بنابراین ، هر کسی که پیوند را داشته باشد می تواند پیام شما را بخواند - از جمله هر کسی که قادر به رهگیری آن باشد.
- این سرویس فقط ابزاری است برای ارسال ارتباطات دائمی کمتر (به عنوان مثال پیام های رمزگذاری شده که پس از بازیابی حذف می شوند) از طریق حمل و نقل سنتی که ماندگارتر است (به عنوان مثال ایمیل / متن / پیام فوری / وب سایت / غیره). این بدان معنی است که هنگام استفاده از این ابزار ، هر مسئله امنیتی / حریم خصوصی ذاتی حمل و نقل انتخابی (به عنوان مثال ایمیل) به شما منتقل می شود .
- راه حل های دیگری نیز وجود دارد که بسته به نیاز و محیط شما امنیت بهتری را ارائه می دهند. مزیت اصلی این سرویس در مقایسه با سایر موارد ، نیازهای بسیار کمتری برای گیرنده است (یعنی آنها فقط به یک مرورگر وب و امکان کلیک روی پیوند نیاز دارند).
- در حالی که تنظیمات پیش فرض حذف پیام ها در هنگام بازیابی است ، اما چیزی برای جلوگیری از تهیه نسخه از گیرنده وجود ندارد . بخاطر داشته باشید که این مربوط به همه راه حلهای پیام موقت است - اگر گیرنده پیام را ببیند ، می تواند کپی شود.
- تمام ارتباطات اینترنتی می توانند حریم خصوصی شما را به خطر بیندازند - شما برای راحتی کار در حال خرید و فروش امنیت هستید.
- به دلیل برخی مسائل اساسی ، وب یک محیط چالش برانگیز در زمینه امنیت است - این مورد در همه وب سایت ها اعمال می شود. با این وجود تحت وب بودن ، تأیید ادعای ما مبنی بر اینکه نمی توانیم پیام شما را خیلی راحت بخوانیم ، باعث می شود .
- این وب سایت و پایگاه داده آن در ایالات متحده میزبانی می شوند. ما از Cloudflare ، یک شرکت مستقر در ایالات متحده ، به عنوان شبکه تحویل محتوا استفاده می کنیم (تمام ترافیک وب این شبکه را پیمایش می کند).
- استفاده از سرویس به هیچگونه اطلاعات شخصی (مانند نام / ایمیل / تلفن / و غیره) نیاز ندارد. هیچ سیستم حساب (به عنوان مثال ورود / رمز عبور / و غیره) وجود ندارد. بنابراین ، هرگونه نقض داده نمی تواند این اطلاعات را فاش کند.
- تمام محتوای پیام از آخر به انتها رمزگذاری شده است . به عبارت دیگر ، رمز / رمز رمزگشایی هرگز برای ما ارسال نمی شود. بنابراین ، ما یا هر شخص دیگری که پایگاه داده را در اختیار دارد ، هیچ راهی برای رمزگشایی و مشاهده محتوای پیام نداریم.
- هر ورودی در پایگاه داده ما از 1 دقیقه تا 2 هفته (به طور پیش فرض تا 1 هفته) زمان دارد. با گذشت این زمان ، رکورد به طور خودکار حذف می شود. بنابراین ، هر اطلاعاتی در پایگاه داده ما اندکی پس از ایجاد ، حذف خواهد شد .
- ما فقط 24 ساعت گذشته از گزارش های وب سرور را حفظ می کنیم . هرگونه اطلاعات IP ذخیره شده در پایگاه داده به طور ایمن هش شده و استخراج IP اصلی را غیر ممکن می کند.
- همه کدهای تأمین کننده این سرویس منبع باز بوده و برای بررسی در دسترس هستند. به راحتی می توانید کدی را که رمزگذاری را اجرا می کند - که به طور خلاصه کوتاه ، مختصر و نظر داده شده است - مشاهده کنید.
- تعدادی از اقدامات احتیاطی فنی برای کمک به تقویت امنیت انجام می شود - برخی از آنها عبارتند از:
- کل این وب سایت غیر از / api استاتیک است و از کد سرور در صفحات پشتیبانی نمی کند (به عنوان مثال PHP / JSP / ASP / و غیره)
- Web Crypto API ، که بخشی از مرورگر است ، برای رمزگذاری تمام محتوای پیام استفاده می شود.
- TLS برای رمزگذاری ارتباطات بین مرورگر شما و سرورهای ما استفاده می شود. این به شما اطمینان می دهد که کد نمی تواند در حین عبور رهگیری یا اصلاح شود. TLS 1.3 پشتیبانی می شود ، اما ما همچنین از TLS 1.2 برای دستگاه های قدیمی تر پشتیبانی می کنیم. نسخه های قدیمی TLS غیرفعال هستند زیرا از امنیت چندانی برخوردار نیستند.
- گزارش های شفافیت گواهی برای عدم صدور گواهینامه کنترل می شود. علاوه بر این ما برای کاهش خطر سو mis صدور گواهینامه ناخواسته یا مخرب ، سیاست مجاز مجوز مجاز (CAA) را منتشر می کنیم.
- ما برای اطمینان از اینکه مرورگرها همیشه با استفاده از پروتکل TLS با سرورهای ما ارتباط برقرار می کنند از HTTP Strict Transport Security (HSTS) استفاده می کنیم. علاوه بر این ، دامنه های خود را در لیست های پیش بارگیری قرار می دهیم .
- برای جلوگیری از حملات Cross Site Scripting (XSS) یک سیاست امنیتی دقیق محتوا اجرا می شود.
- ما با استفاده از سیاست Cross-Origin Resource Policy ، Cross-Origin Embedder Policy و Cross-Origin Opener ، کد cross cross را منع می کنیم تا در کاهش حملات کانال جانبی احتمالی مانند Spectre و Meltdown کمک کنیم. این امر همچنین با جداسازی متن مرور به طور انحصاری در اسناد از همان منبع ، در برابر درخواست های احتمالی مخرب از مبدا دیگر محافظت می کند.
- ما از سیاست مجوزها استفاده می کنیم تا از بارگیری منابع در مرورگر جلوگیری کند که می تواند حریم خصوصی شما مانند مکان شما ، وب کم ، میکروفون و غیره را به خطر بیندازد.
- DNSSEC در همه دامنه های ما برای کمک به کاهش حملات MITM مبتنی بر DNS استفاده می شود.
- ما برای ایمن سازی سرور اقدامات احتیاطی زیادی انجام می دهیم.
- هیچ کد شخص ثالث بارگیری نمی شود (به عنوان مثال jQuery) و منابع بسیار کمی بارگیری می شود (برای بررسی ، زبانه شبکه را در ابزارهای برنامه باز کنید) - این تلاش مورد نیاز برای حسابرسی را به حداقل می رساند. یک مورد استثنا در صورت نیاز به CAPTCHA است - که کد شخص ثالث را از hCaptcha بارگیری می کند . با این حال ، کد hCaptcha بر روی URL خاص خود در داخل قوانین CSP خود بارگیری می شود و هیچ وقت به مواردی که با یک پیام ارتباط دارد دسترسی ندارد.
- به عنوان ابزاری برای کمک به محافظت ایمن در برابر حملات MITM ، برنامه های افزودنی مرورگر در دسترس هستند .
چرا در اینجا پیوندی با گزینه رمزگشایی پیام دریافت کردم؟
در صورت وجود اشتباه در این ترجمه عذرخواهی می کنیم. این سرویس به سادگی یک پیام رمزگذاری شده را از یک نقطه به نقطه دیگر منتقل می کند و شما گیرنده آن هستید. پیام به زودی حذف خواهد شد اپراتورهای این سرویس راهی برای خواندن مطالب پیام ندارند. معمولاً کسی از این سرویس استفاده می کند که نمی خواهد محتوای پیام در پایگاه داده های مختلف / دستگاه ها / خدمات / پرونده ها و غیره باقی بماند. همانطور که هنگام ارسال ایمیل / پیام فوری / متن / و غیره معمول است. اگر تصمیم به رمزگشایی دارید ، لطفا موارد زیر را بخاطر بسپارید:
- احتمالاً بلافاصله پس از ارسال پیام برای رمزگشایی به دستگاه شما ، حذف خواهد شد. این بدان معنی است که بعد از کلیک کردن روی دکمه رمزگشایی پیام ، دیگر نسخه ای نداریم که بعداً دوباره برای شما ارسال کنیم.
- ما تمام اطلاعات دریافتی را به طور سیستماتیک حذف می کنیم. پیام ها بین یک دقیقه تا دو هفته پس از ایجاد ، در هر جایی حذف می شوند - بدون در نظر گرفتن رمزگشایی پیام. به عبارت دیگر ، اگر نیاز به خواندن پیام دارید ، برای رمزگشایی آن خیلی منتظر نباشید.
- فرستنده احتمالاً معتقد است که باید با دقت به محتوای پیام رسیدگی شود. آنها حتی ممکن است گفته باشند که نمی خواهند هیچ کپی ساخته شود. لطفا به خواسته های آنها احترام بگذارید.
- اگر از شما رمزعبور برای رمزگشایی پیام خواسته شد ، پنجره / برگه مرورگر را نبندید. از نظر اولین گلوله در این لیست ، احتمالاً بعداً نمی توانیم نسخه دیگری ارسال کنیم. فقط کافی است پنجره / برگه مرورگر را باز بگذارید تا زمانی که بتوانید رمز عبور را وارد کنید. اگر گذرواژه نادرستی وارد کنید ، دوباره از شما خواسته می شود. رمز ورود باید دقیقاً وارد شود. بخاطر داشته باشید که برای جایگزینی زبانهای مختلف و نیازهای رمز عبور ، شخصیت های مختلفی را در رمزهای عبور می پذیریم.
همه موارد ارسالی به این سایت را حذف می کنید؟
به لوگوی سطل زباله ما صادق است ... همه چیز اندکی پس از دریافت حذف می شود. حذف همه موارد به صورت خودکار است - در سرور نوشته شده است. به این روش فکر کنید - دو دسته اطلاعات ارسال شده است:
- پیام های رمزگذاری شده که هیچ راهی برای رمزگشایی مطالب برای آنها نداریم
- سایر اطلاعات ذاتی ارائه هر چیزی در وب (یعنی آدرس IP شما و غیره)
- اگر کسی پیام را بازیابی نکند ، چه مدت باید آن را نگه داریم (از 1 دقیقه تا 2 هفته - به طور پیش فرض تا 1 هفته).
- چند بار پیام بازیابی می شود (از 1 تا 100 بار - به طور پیش فرض تا 1 بار)
چرا از این سرویس استفاده می کنیم؟
این سرویس ابزاری است برای کمک به ماندگاری پیام های ارسالی / دریافتی شما. بیشتر آنچه در اینترنت برقرار می کنید (چت ، متن ، ایمیل و غیره) ذخیره می شود و بندرت حذف می شود. اغلب اوقات ، وقتی چیزی را حذف می کنید ، در حقیقت حذف نمی شود بلکه به عنوان حذف شده علامت گذاری می شود و دیگر برای شما نمایش داده نمی شود. کل ارتباطات شما سال به سال در پایگاه داده ها و دستگاه هایی جمع می شود که هیچ کنترلی بر آنها ندارید. به ناچار ، یک یا چند سازمان / افراد / دستگاههایی که ارتباطات شما را ذخیره می کنند هک شده و اطلاعات شما درز می کند. این مشکل به حدی فراگیر است که هم اکنون وب سایت های بسیاری وجود دارند که سازمان هایی را که در معرض خطر قرار گرفته اند و اطلاعات کاربر را فاش کرده اند ردیابی می کنند. پیام های موقت رمزگذاری شده از انتها به انتها یک راه حل ساده برای کمک به ماندگاری برخی از ارتباطات شما هستند. هر پیامی که به این سایت ارسال می شود ، زمان پخش آن از 1 دقیقه تا 2 هفته است - با گذشت زمان پیام ، پیام حذف می شود. بعلاوه ، تنظیمات پیش فرض حذف هر پیامی است که گیرنده پیام را بازیابی کرد. علاوه بر این ، تمام پیام ها از دستگاه شما رمزگذاری می شوند ، تا آنجا که به دستگاه گیرنده منتقل می شوند. هدف اصلی در استفاده از رمزگذاری end-to-end حذف توانایی ما برای خواندن پیام های ارسالی در نتیجه حذف برخی از نیازهای اعتماد است. نتیجه نهایی این است که ارسال پیام رمزگذاری شده از طریق یک لینک ساده اکنون آسان است. این پیام یا اندکی پس از ارسال یا پس از بازیابی حذف می شود. نیازی به نصب / پیکربندی نرم افزار خاص نیست. نیازی به ایجاد یک حساب کاربری یا ارائه اطلاعات شخصی نیست. گیرنده مجبور نیست در تماس شما باشد یا حتی از این سرویس اطلاع داشته باشد - تنها شرطی که وی می تواند روی پیوند کلیک کند.
آیا این سرویس پیام رسانی است؟
خیر. این سرویس برای تکمیل خدمات پیام رسانی موجود مانند پیام رسانی فوری / ایمیل / متن / و غیره طراحی شده است. با افزودن توانایی جلوگیری از ذخیره شدن پیامهای ارسالی به مدت طولانی. ما پیوند ایجاد شده را به گیرنده تحویل نمی دهیم .
موارد استفاده در نظر گرفته شده چیست؟
بنابراین چه سناریوهایی وجود دارد که استفاده از این سرویس مناسب باشد؟ در حالی که هر کس در مورد حریم خصوصی و امنیت خود نیازها و الزامات متفاوتی دارد ، من شخصاً سناریوهای زیر را به عنوان موارد استفاده مناسب پیدا کرده ام:
- شما از طریق یک فروم وب محلی در مورد مسیرهای دوچرخه سواری کوهستان در منطقه ارتباط برقرار کرده اید و گاهی اوقات با افراد حاضر در این انجمن ملاقات می کنید تا مسیرهای جدید را با هم بررسی کنید. شخصی از تالار گفتمان می خواهد آخر هفته شما را برای رفتن به یک مسیر پیاده روی در محل خود سوار کند. شما نمی خواهید آدرس خانه شما برای همیشه در این پایگاه داده انجمن وب سایت نشسته باشد. به سادگی آدرس را از طریق این سرویس ارسال کنید - پیوند همان چیزی است که در پایگاه داده انجمن وب سایت قرار دارد ، اما با خواندن آن توسط گیرنده ، پیام / آدرس پاک می شود.
- شما باید به Netflix ورود به سیستم خود را برای برادر خود ارسال کنید زیرا خواهرزاده شما به دلیل قفل شدن COVID او را دیوانه می کند و او هنوز حساب شخصی خود را ندارد. شما خیلی به این ورود اهمیت نمی دهید ، اما برادر شما از آنچه من فقط "بهداشت دیجیتال" می نامم بد است و آزمایش های زیادی با ورود به سیستم و بدافزارهای مخرب انجام داده است. تلاش های بعدی برای جلب نظر وی و حتی نصب پیام های ایمن برای وی انجام نشد. ارسال آن از طریق پیام متنی احتمالاً بهترین گزینه است (متأسفانه) ، اما با توجه به تجربه گذشته از نشستن این سیستم در تاریخ پیام او راحت نیستید. استفاده از این سرویس برای ارسال ورود به سیستم از طریق پیوندی در یک پیام متنی ، باعث می شود اجازه ندهید ورود به سیستم در تاریخ چت وی برای همیشه معلق باشد.
- شما بعضی اوقات در دفتری کار می کنید که مستاجر مشترک زیادی دارد که در همه ساعت ها رفت و آمد می کنند. WiFi برای استفاده در دسترس است ، اما هر هفته رمز عبور چرخانده می شود زیرا در سو abuse استفاده مشکلی پیش آمده است. بسیاری از مستاجران از طریق ایمیل / پیام از شما درخواست رمز عبور WiFi را می کنند حتی اگر در قسمت جلو باشد زیرا اکثر آنها از طریق ورودی اصلی جلو وارد نمی شوند. با استفاده از این سرویس ، مدیر دفتر می تواند رمز عبور WiFi را از طریق پیوند در ایمیل / متن ارسال کند ، اما جوابگوی عدم اجازه گذرواژه نیست ، و همچنین به گیرنده اجازه می دهد تا بلافاصله رمز عبور را از طریق یک دکمه کپی که در دستگاه های تلفن همراه کمتر دست و پا چلفتی است ، کپی کند.
- یکی از ارائه دهندگان خدمات میزبانی شما از شما درمورد جزئیات سروری درخواست می کند که گزارش داده اید نشانه هایی از هارد دیسک است که به نظر می رسد خراب است. برخی از اطلاعات مورد نیاز آنها کمی حساس است - شما نمی خواهید که برای همیشه در سیستم بلیط شخص ثالثی که استفاده می کنند نشسته باشد. با استفاده از این سرویس ، می توانید اطلاعات را بدون نیاز به سکونت در سیستم بلیط ، برای تکنسین های پشتیبانی ارسال کنید. از آنجا که ممکن است چندین تکنسین نیاز به مراجعه چندین باره به اطلاعات داشته باشند ، میزان خواندن برای انجام کار را بیشتر از 1 (یعنی شاید 20) تنظیم کنید تا پیام در هنگام بازیابی اول پاک نشود.
- باید به کاربر دیگری در Reddit پیام خصوصی دهید تا شماره تلفن شما را در جریان بگذارد تا بتواند با شما تماس بگیرد. Reddit ، مانند بسیاری از ارائه دهندگان دیگر ، اطلاعات کاربر را در گذشته فاش کرده است و شما نمی خواهید که شماره تلفن شما فقط سالها در پایگاه داده Reddit باشد تا نشت بعدی. به سادگی شماره تلفن خود را از طریق این سرویس ارسال کنید.
- همسرتان در حالی که مشغول کار هستید و برای ورود به سیستم برنامه به شما پیام می دهد زیرا دوست او فقط برنامه جدیدی را امتحان کرده است که باعث صرفه جویی در هزینه قبض برق وی شده است و او می خواهد آن را بررسی کند. یک مدیر گذرواژه خانوادگی مشترک وجود دارد که شما را به او یادآوری می کنید ، اما او فقط می خواهد شما ورود به سیستم را ارسال کنید. OMEMO برای پیام رسانی فوری با همسر شما کار می کند و بنابراین شما بسیار مطمئن هستید که انتقال پیام ایمن است. با این حال ، تاریخچه چت خود بدون رمزگذاری ذخیره می شود. همسر شما همیشه درمورد بارگیری ، ایمیل و غیره محتاط نیست و قبض های آب و برق کمی حساس هستند زیرا می توانند برای سرقت هویت برای اثبات اقامت استفاده شوند. با استفاده از این سرویس می توانید جزئیات ورود به سیستم را برای او ارسال کنید تا از ذخیره شدن نسخه در رایانه وی جلوگیری شود.
برای چه کارهایی نباید از این سرویس استفاده کرد؟
به دلایلی که در این س FAالات متداول توضیح داده شده است نباید از این سرویس برای اطلاعات بسیار حساس استفاده شود. در زیر چند نمونه از مواردی که نباید انجام شود وجود دارد:
- برای ایجاد "ایمن تر" در انتقال پیام نامناسب از این سرویس استفاده نکنید. از آنجا که تنظیمات پیش فرض قرار دادن رمز عبور در URL است که می تواند پیام را بخواند ، هر کسی که پیوند را دارد می تواند پیام را بخواند. همانطور که در بالا ذکر شد ، هنگام استفاده از این ابزار ، هر مسئله امنیتی / حریم خصوصی ذاتی حمل و نقل انتخاب شده (به عنوان مثال یک متن) به ارث می رسد. بنابراین ، به عنوان مثال ، اگر هرگز به دلیل حساس بودن آن ، برای ارسال اطلاعات خاص از ایمیل استفاده نمی کنید ، نباید از این سرویس برای "ایمن سازی" آن قسمت از ایمیل استفاده کنید.
- برای اطمینان از عدم کپی برداری از پیام از این سرویس استفاده نکنید. فقط به این دلیل که ما بلافاصله پس از بازیابی ، کپی پیام رمزگذاری شده خود را حذف کرده و کپی برداری را دشوارتر می کنیم ، به معنای کپی برداری از پیام نیست. اگر گیرنده از صفحه خود عکس بگیرد ، چه می شود؟ اگر آنها فقط پیام را بنویسند چه؟ در نهایت ، اگر گیرنده بتواند پیام را بخواند - می توان نسخه ای از آن را تهیه کرد.
- برای اطمینان از عدم یافتن پیامی از طرف شما ، از این سرویس استفاده نکنید. این سرویس برای رساندن پیام از یک نقطه به نقطه دیگر به ارائه دهنده انتقال پیام دیگری (به عنوان مثال ایمیل ، چت و غیره) وابسته است. انتقال پیام استفاده شده به خوبی می تواند پیام را به شما ردیابی کند.
- برای ارسال هر چیزی که می خواهید ارسال آن را انکار کنید از این سرویس استفاده نکنید. فقط به این دلیل که پیام خود حذف شده است ، به این معنی نیست که پیوندی که به پیام حذف شده اشاره دارد ، حذف شده است. اگر برای دوست خود ایمیل ارسال کنید و بخشی از آن دارای پیوندی به پیام این سرویس باشد ، یک خواننده عادی می داند که چیز دیگری در پیام وجود دارد. حتی اگر پیامی که توسط پیوند به آن ارجاع داده شده است از بین رفته باشد - مشخص است که چیز دیگری ارسال شده است و توسط شما برای دوست شما ارسال شده است.
چرا فقط از PGP / سیگنال / OMEMO / ماتریس / و غیره استفاده نمی کنید؟
اگر شخصی را که می خواهید پیام های موقت ایمن برای شما ارسال شود ، می شناسید ، مرتباً برای آنها ارسال کنید ، انتظار یک رابط گپ مانند را دارید و یا می توانید از گیرنده نرم افزار مورد نیاز را داشته باشید و نحوه استفاده از آن را بدانید ، این وب سایت احتمالاً بهترین راه حل. گزینه های بسیار خوبی وجود دارد که متن باز هستند ، از E2EE پشتیبانی می کنند ، تحت وب نیستند و حتی برخی مانند Signal نیز از پیام های موقتی پشتیبانی می کنند. من شخصاً از یک سرور خصوصی XMMP و OMEMO برای گپ زدن با دوستان و خانواده نزدیک استفاده می کنم. استفاده از این سایت فقط در صورت مطلوب است اگر شما نمی دانید که گیرنده چه نرم افزاری را اجرا می کند ، شماره تلفن / تماس با وی را نمی دانید ، مهارت فنی وی را نمی دانید (اما فرض کنید آنها می توانند روی پیوند کلیک کنند) ، یا فقط ترجیح می دهید پیامی را که می فرستید خارج از حمل و نقل اصلی ارتباط داشته باشید.
چه الزاماتی وجود دارد؟
یک مرورگر وب مدرن و به روز که استانداردهایی از جمله Web Crypto API را به درستی پیاده سازی می کند ، مورد نیاز است. به عنوان مثال می توان به موارد زیر اشاره کرد: Chrome ، Firefox ، Edge و Safari (حدود سال 2020 یا بعد از آن).
آیا گیرنده می تواند کپی از پیام را تهیه کند؟
آره. حتی اگر پیام هنگام بازیابی ممکن است خودش را پاک کند ، گیرنده همچنان می تواند پیام را مشاهده کند. هر زمان گیرنده می تواند پیام را کاملاً مشاهده کند ، می توان کپی کرد - این مربوط به همه ارتباطات است. گزینه ای وجود دارد که تهیه نسخه را برای گیرنده دشوارتر کند. در این حالت سه مانع برای کپی برداری اعمال می شود:
- دکمه کپی برداشته می شود. این دکمه به طور پیش فرض به گیرنده اجازه می دهد تا کل پیام را در کلیپ بورد خود کپی کند.
- دکمه بارگیری حذف می شود. این دکمه به طور پیش فرض به گیرنده اجازه می دهد تا پیام را به عنوان یک فایل متنی بارگیری کند.
- قابلیت انتخاب متن درون جعبه متن پیام حذف می شود.
آیا اطلاعات شخصی جمع آوری شده است؟
ما از حساب های کاربری (یعنی نام کاربری / گذرواژه) پشتیبانی نمی کنیم. ما هیچ اطلاعاتی را که بتواند شما را شناسایی کند جمع نمی کنیم (یعنی نام / آدرس / ایمیل / تلفن). ممکن است برخی از اطلاعات شخصی در پیامی که ارسال می کنید وجود داشته باشد ، اما این رمزگذاری شده است و ما راهی برای خواندن آن نداریم. لطفاً برای جزئیات کامل سیاست حفظ حریم خصوصی ما را مرور کنید.
چه اطلاعاتی ثبت می شود؟
وب سرور ما حداکثر تا 24 ساعت قالب مشترک گزارش را روی کلیه فعالیتهای وب نگه می دارد. این شامل ورود به سیستم آدرس IP کامل سرویس گیرندگان HTTP است. پس از 24 ساعت ، این اطلاعات ثبت شده به طور خودکار حذف می شود. تمام درخواست های ارسال شده به / api ارسال شده به این معنی است که هیچ اطلاعات خاصی از پیام توسط سرور وب ثبت نمی شود. علاوه بر این ، هر اطلاعاتی که در پایگاه داده ذخیره می شود به طور موثر ثبت می شود. تمام ورودی های پایگاه داده ، از جمله آدرس های IP ناشناس و هش دار ، دارای مدت انقضا (TTL) هستند و پس از آن به طور خودکار حذف می شوند. زمان انقضا T TTL بین 1 دقیقه تا 2 هفته متفاوت است.
برای امنیت سرورها چه کاری انجام می دهید؟
امنیت سرور یک نگرانی آشکار است. برای ایمن نگه داشتن آن دو زمینه اصلی وجود دارد:
- اولاً ، ما کمترین زمان ممکن را برای کمترین زمان ممکن ذخیره می کنیم تا در صورت به خطر افتادن سرور ، هر گونه نشت اطلاعات برای کاربران ما ضرری نداشته باشد. تمام پیام های ذخیره شده در پایگاه داده رمزگذاری شده اند و به هیچ وجه رمزگشایی نمی شوند. از آنجا که ما هیچ اطلاعات شخصی را از کاربران خود جمع نمی کنیم ، هیچ چیزی ذخیره نشده است که هر پیامی را به هیچ یک از کاربران ما متصل کند. تمام سوابق موجود در پایگاه داده دارای یک زمان انقضا (TTL) از 1 دقیقه تا 2 هفته است - پس از گذشت این زمان ، رکورد به طور خودکار حذف می شود. بنابراین ، اکثریت قریب به اتفاق اطلاعاتی که تاکنون در پایگاه داده بوده است ، مدتها پیش حذف شده است.
- ما برای جلوگیری از مصالحه اقدامات مختلفی انجام می دهیم و شامل هر مصالحه ای می شود:
- وب سرور ، nginx ، در یک محفظه جداگانه به عنوان یک کاربر غیرمجاز بدون دسترسی نوشتن به موارد دیگری به غیر از سیاهههای مربوط ، اجرا می شود. کانتینر در متن SELinux خودش اجرا می شود و از هر گونه تغییر سیستم فایل یا فرار آسان از ظرف جلوگیری می کند. از PHP / ASP / JSP / و غیره پشتیبانی نمی شود. - فقط در خدمت منابع استاتیک.
- کد در حال اجرا / api در Go نوشته شده است که باید آن را در برابر آسیب پذیری های سرریز بافر (یک بردار حمله مشترک) انعطاف پذیر کند. فرآیند Go همچنین در یک محفظه جداگانه به عنوان یک کاربر غیرمجاز بدون دسترسی نوشتن به موارد دیگری به غیر از پایگاه داده اجرا می شود. کانتینر در متن SELinux خودش اجرا می شود و از هر گونه تغییر سیستم فایل یا فرار آسان از ظرف جلوگیری می کند. پایگاه داده ، badgerdb ، بخشی از فرایند Go است (بدون وابستگی / فرایند پایگاه داده خارجی).
- خطر اصلی سازش در سرور این است که مهاجم می تواند پرونده ها را به گونه ای تغییر دهد که حریم خصوصی / امنیت کاربران ما را به خطر بیندازد. یک فرآیند اختصاصی کلیه پرونده های وب سایت را برای هرگونه تغییر کنترل می کند و در صورت بروز هرگونه تغییری بلافاصله به ما هشدار می دهد.
- کلیه دسترسی های اداری محافظت شده و محدود به شبکه های مجاز است.
هنگام استفاده از این سایت چه خطرات امنیتی وجود دارد؟
قبل از پرداختن به طور خاص به برخی از این خطرات ، من فکر می کنم یک تشبیه نیمه کوتاه ممکن است به جمع بندی خطرات استفاده از هرگونه ارتباطات اینترنتی کمک کند. تجسم کنید که هر سیستم فقط به اندازه ضعیف ترین حلقه زنجیره ای ایمن است. حال سناریویی را تصور کنید که دو نفر در یک اتاق مهر و موم شده باشند و هیچ وسیله ای برای دیدن ، شنیدن یا ضبط هر کاری که انجام می دهند وجود ندارد. یکی پیام را به دیگری منتقل می کند که با خواندن پیام آن را می سوزاند. اگر کسی در خارج از آن اتاق بخواهد پیامی را که قبلاً منتقل شده دریافت کند ، سخت خواهد بود. ضعیف ترین پیوند برای به دست آوردن پیام چیست؟ تعداد زیادی پیوند برای انتخاب وجود ندارد - این یک زنجیره بسیار کوتاه است. حال تصور کنید وقتی در اینترنت پیام می دهید حداقل یک میلیون لینک در این زنجیره وجود دارد - بسیاری از آنها ضعیف هستند - بسیاری از آنها کاملا خارج از کنترل شما هستند - و این واقعیت است.
استفاده از رمزنگاری می تواند تا حد زیادی به مشکل لینک فوق کمک کند و راحت می توان فکر کرد که سیستم های E2EE با طراحی خوب ، راه حل نهایی را ارائه می دهند. با این حال ، این تفکر می تواند شما را به دردسر بیندازد ، زیرا یک مهاجم معمولاً به دنبال پیوندهای ضعیف سیستم می رود. به عنوان مثال ، تصرف تلفن یا رایانه و راه اندازی یک logger ورودی برای خواندن هر آنچه را تایپ می کنید ، بسیار ساده تر از شکستن پیام های رمزگذاری شده از طریق سیم است. نتیجه نهایی این است که اگر وظیفه من بود که رازی از اهمیت حیاتی / حیاتی را اعلام کنم ، فقط از ارتباطات الکترونیکی به عنوان آخرین راه حل استفاده می کردم.
بنابراین استفاده از هرگونه ارتباطات خطرات امنیتی وجود دارد ، اما شما هنوز هم از یک مرورگر وب برای خدمات بانکی ، خرید موارد ، ایمیل و غیره استفاده می کنید. این یک خطر پذیرفته شده برای راحتی زیاد به دست آمده است. واقعاً س isال اینجاست ... چه خطرات امنیتی نیمه اختصاصی برای این سایت است؟ چند نفر به ذهن می آیند:
- شاید بزرگترین و منحصر به فردترین خطر برای این سرویس این باشد که کاربران ما هنگام تشخیص بین اینکه چه چیزی برای ارسال مناسب است و چه چیزی برای ارسال مناسب نیست ، قضاوت خوبی نخواهند کرد. گاهی اوقات تمایز بین "من از ارسال ایمیل به این اطلاعات راحت هستم - فقط آرزو می کنم ایمیل پس از خواندن پاک شود" و "از ارسال ایمیل با این اطلاعات راحت نیستم - ایمیل حمل و نقل نامناسبی است" می تواند بسیار ظریف باشد.
- همیشه این تهدید وجود دارد که گردانندگان این سایت در واقع بازیگران بدی هستند که مردم را مجبور می کنند از این سرویس برای دستیابی به یک هدف نهایی تاریک استفاده کنند. ما به طور قابل قبولی قابل اعتماد روبرو می شویم - همه کارها را آسان و رایگان انجام می دهیم - افراد زیادی را که از این سرویس استفاده می کنند - در تمام مدت با نیت شوم. ! چگونه ممکن است به ما اعتماد کنید؟
- این احتمال وجود دارد که کد ما دارای اشکالاتی باشد که امنیت را تحت تأثیر قرار می دهد یا ما فقط به خوبی فکر نکرده ایم و کمبودهای ما اکنون کاربران ما را در معرض خطر غیرضروری قرار می دهد. مطمئناً امیدواریم که نه - اما نمی توانیم آن را رد کنیم.
- برخلاف تیتان های فنی (به عنوان مثال گوگل / فیس بوک / واتساپ) که ترابایت داده های رمزگذاری شده به طور مداوم در شبکه های عظیم خود از داخل و خارج جریان می یابند ، جایی که داشتن ارتباطات خصوصی با سایر ترافیک ها ، خدمات متمرکز مستقل (به عنوان مثال سیگنال ، تلگرام ، و ما) برجسته هستیم. برای یک اپراتور شبکه یا حتی یک سازمان / دولت بزرگ مشاهده این مسئله که آدرس IP xxxx از سرویس XYZ استفاده می کند آسان است.
- اگرچه واقعاً مختص این سایت نیست ، اما از آنجایی که می تواند علیه هر وب سایتی استفاده شود ، حملات انسان در میانه (MITM) یک نگرانی معتبر است .
در مورد حملات مرد در میانه (MITM) چه می کنید؟
همه کاربران وب سایت ها به طور بالقوه می توانند قربانی حمله MITM شوند - این سایت از این نظر با سایر وب سایت ها تفاوتی ندارد. حمله MITM زمانی است که مهاجم قادر به رهگیری و اصلاح ارتباطات بین مرورگر کاربر و وب سرور سایت باشد. این به مهاجم این امکان را می دهد تا در حالی که هنوز برای کاربر نهایی به نظر می رسد سایتی باشد که به آن عادت کرده است ، کد / محتوای سایت را اصلاح کند. ما برای دشوارتر کردن حمله MITM اقداماتی انجام می دهیم:
- HSTS برای مجبور کردن مرورگرها به اتصال فقط از طریق TLS استفاده می شود. سرور ما پیکربندی شده است تا ارتباطات غیر TLS غیر از هدایت را نادیده بگیرد. فقط TLS 1.2 یا بالاتر پشتیبانی می شود.
- DNSSEC برای امضای منطقه دامنه ما استفاده می شود. اگر کاربر از یک DNSSEC حلال بازگشتی آگاه استفاده می کند ، این می تواند حملات MITM اجرا شده توسط DNS را متوقف کند.
- ما از سرویسی برای نظارت بر مراجع صدور گواهینامه استفاده می کنیم که هرگونه گواهینامه غیرمجاز TLS با ارجاع به دامنه خود صادر می کنند.
- ما افزونه های مرورگر را برای پشتیبانی از رمزگذاری پیام با استفاده از کد ذخیره شده در دستگاه کاربر نهایی منتشر کرده ایم.
افزونه های مرورگر چه مزایایی را ارائه می دهند؟
ما برنامه های افزودنی مرورگر را به عنوان وسیله ای برای ایجاد راحتی بیشتر و امنیت بیشتر ارائه می دهیم. به زبان ساده ... برنامه های افزودنی ارسال پیام های موقتی را سریعتر و آسان تر می کنند. برخی از امنیت ها نیز بدست می آیند زیرا تمام کدی که برای رمزگذاری و آماده سازی پیام استفاده می شود به صورت محلی در پسوند ذخیره می شود. از آنجا که کد به صورت محلی ذخیره می شود ، این امر محافظی را در برابر حملات MITM به فرستنده ارائه می دهد. با این حال ، لازم به ذکر است که اگرچه پسوندها از حمله MITM که محتوای پیام را به خطر می اندازد ، محافظت بیشتری می کنند ، حمله MITM همچنان می تواند م beثر باشد (یعنی تعیین آدرس IP فرستنده در صورت عدم استفاده از TOR / VPN / و غیره).
چگونه می توانم به طور قطع بفهمم که هر چیزی که ارسال شده از آخر به آخر رمزگذاری شده است؟
برخلاف بسیاری دیگر از سرویس های گفتگوی محبوب رمزگذاری شده انتها به انتهای (E2EE) ، مشاهده دقیق آنچه که هنگام ارسال پیام برای ما ارسال می شود کاملاً ساده است. آموزش تصویری زیر نشان می دهد که چگونه تأیید کنیم که راهی برای رمزگشایی پیام های ارسالی به سرور نداریم.
همچنین ، اگر به آن فکر کنید ، تا زمانی که ما یک سازمان مخفی نیستیم که سعی در جمع آوری پیام های حساس نداریم ، هیچ فایده ای برای ما ندارد که بتوانیم پیام ها را رمزگشایی کنیم ، زیرا داشتن این توانایی فقط مشکلاتی برای ما ایجاد می کند. ما حتی نمی خواهیم پیام ها را ذخیره کنیم - اما ضروری است که آنها را ارائه دهیم.رمزگذاری end-to-end در این سایت چگونه کار می کند؟
در این زمان ، ما از رمزگذاری متقارن (AES-GCM 256bit) با کلیدهای حاصل از گذرواژه (حداقل 150،000 تکرار PBKDF2 / SHA-256) استفاده می کنیم. رمزگذاری نامتقارن استفاده نمی شود زیرا الزامات لازم برای 1) فرستنده آغاز کننده ارتباطات 2) فرستنده و گیرنده در یک زمان آنلاین نیستند و 3) هیچ اطلاعاتی در مورد گیرنده و 4) ما در تلاش هستیم که همه چیز را ساده نگه داریم و مدیریت کلید بغرنج. API استاندارد Crypto Web برای همه قابلیت های رمزنگاری از جمله RNG استفاده می شود. در واقع ، آنچه اتفاق می افتد در اینجا است:
- کاربر نهایی رمز عبور را انتخاب می کند یا رمز ورود خودکار ایجاد می شود
- برای بدست آوردن تعداد تکرارهای مورد نیاز PBKDF2 / SHA-256 تماس API برقرار می شود ( این مرحله برای کنترل هرزنامه لازم است )
- نمک 32 بایت تولید می شود
- یک کلید از نمک و رمز عبور مشتق شده است
- بردار مقداردهی اولیه 12 بایت (IV) ایجاد می شود
- پیام با استفاده از کلید + IV رمزگذاری می شود
- تعداد تکرار ، نمک ، IV و متن رمز شده به سرور ارسال می شود (همراه با برخی اطلاعات دیگر مانند TTL ، RTL و غیره)
- سرور یک شناسه تصادفی را با اشاره به پیام برمی گرداند
- سپس مرورگر پیوندی را به کاربر نهایی ارائه می دهد كه شامل شناسه و رمز عبور برگشتی یا پیوندی بدون رمز عبور است (در این صورت گیرنده باید رمز عبور را بداند و وارد كند)
- اگر گذرواژه بخشی از پیوند باشد ، در URL hash است و بنابراین وقتی گیرنده درخواست GET را ارائه می دهد ، هرگز به سرور ارسال نمی شود
- در صورت تمایل به رمزگشایی و مشاهده پیام ، از گیرنده درخواست می شود
- مرورگر با تعیین شناسه پیام درخواست می کند
- اگر فرستنده نیاز به تکمیل CAPTCHA داشته باشد ، گیرنده به URL دیگری هدایت می شود تا اثبات کند که انسان است (پس از عبور مجدداً هدایت می شود)
- سرور پیام رمزگذاری شده را ارسال می کند و اگر خواندن به صورت زنده (RTL) یکی باشد به طور پیش فرض پیام را در این مرحله حذف می کند
- گیرنده پیام را با گذرواژه رمزگشایی خواهد کرد (و اگر در URL نباشد از او درخواست رمز عبور می شود)
رمز عبور رمزگشایی می تواند در URL باشد؟
آره. این امر به وضوح بر امنیت تأثیر می گذارد زیرا اگر روشی که برای ارسال پیوند استفاده می شود ناامن باشد ، از نظر ارتباط پیام ناامن است. تمام راه حل ها برای از بین بردن این مسئله ، مراحل و پیچیدگی های دیگری را ایجاد می کند که بر تجربه کاربر تأثیر می گذارد (یعنی قبل از ارسال پیام ، موارد باید در هر دو قسمت تنظیم شوند). یک طرح نامتقارن که به موجب آن گیرنده درخواست پیامی را آغاز می کند و پیوند درخواست را می فرستد می تواند با نیاز اصلی ما "همه چیز زودگذر است" کار کند - این ممکن است اجرا شود. در نهایت ، اگر قرار باشد دو طرف به طور مکرر برای یکدیگر پیام ارسال کنند ، با فرض اینکه هر دو طرف بتوانند از این راه حل ها استفاده کنند راه حل های بهتری وجود دارد.
اما لزوما رمز عبور رمزگذاری در URL نیست؟
درست. اگر رمز رمز در پیوند موجود نباشد ، از گیرنده رمز عبور خواسته می شود. اگر رمز عبور به طور ایمن به گیرنده ارسال شود (یا آنها قبلاً آن را می دانند) ، این امر در برابر رهگیری محافظت می کند. با این حال ، عیب این است که گیرنده باید رمز عبور را بداند و به درستی وارد کند. در اینجا یک راه برای ارسال رمز عبور به گیرنده وجود دارد که در برابر رهگیری محافظت می کند:
- رمز عبور را در یک پیام با تنظیمات پیش فرض رمزگذاری کرده و این پیوند را برای گیرنده ارسال کنید.
- هنگامی که گیرنده روی پیوند کلیک می کند و پیام را رمزگشایی می کند ، می داند که هیچ کس دیگری قبلاً رمز عبور را دریافت نکرده است زیرا پیام حاوی رمز عبور در هنگام بازیابی حذف می شود. با این حال ، اگر یک حمله MITM فعال وجود داشته باشد یا اگر دستگاه شما یا دستگاه گیرنده به خطر افتاده باشد ، ممکن است شخص دیگری بتواند رمز عبور را دریافت کند.
- با گیرنده تأیید کنید که رمز عبور را با موفقیت دریافت کرده است. به عنوان مثال ، اگر گیرنده به شما اطلاع دهد که هنگام بازیابی رمز عبور ، پیام قبلاً حذف شده است ، پس می دانید شخص دیگری قبل از گیرنده رمز عبور را دریافت کرده است و بنابراین رمز عبور به خطر می افتد و نباید استفاده شود.
- با استفاده از گذرواژه ای که گیرنده تأیید کرده است ، اکنون می توانید با استفاده از همان رمز عبور پیامی را برای رمزگذاری ارسال کنید - فقط نسخه پیوندی را که رمز عبور ندارد به اشتراک بگذارید.
این سرویس پیوند را به گیرنده تحویل نمی دهد؟
این درست است - ما پیوند را ایجاد می کنیم و نحوه ارسال آن به گیرنده را به ارسال کننده می سپاریم. هدف این سرویس ارائه گزینه ای است که ماندگاری کمتری در انتقال پیام های موجود مانند ایمیل / چت / متن / و غیره داشته باشد. بنابراین ، انتظار این است که پیوندی که ایجاد می کنیم و به پیام موقت اشاره دارد ، از طریق یک پیام موجود ارسال شود. این پیامدهای امنیتی دارد که کاربران باید درک کنند. بیایید یک پیام کوتاه را به عنوان مثال در نظر بگیریم ، زیرا این یک روش ارتباطی بسیار ناامن است. هنگامی که از این سرویس برای ارسال پیوند پیام موقت از طریق پیام متنی استفاده می کنید ، اگر از حالت پیش فرض استفاده می کنید که رمز عبور در آن پیوند داده می شود ، هر کسی پیوند را داشته باشد می تواند پیام را بخواند و هیچ گونه محافظت در برابر رهگیری ارائه نمی شود. این سرویس هنوز ارتباط موقت تری را فراهم می کند که می تواند حریم خصوصی و امنیت را افزایش دهد. علاوه بر این ، شما می توانید پیوند را بدون رمز عبور ارسال کنید و این باعث محافظت در برابر رهگیری می شود.
چگونه می توانم در حین استفاده از این سرویس تا حد امکان از حریم خصوصی خود محافظت کنم؟
همانطور که در جای دیگری در این سQالات متداول بحث شده است ، حتی اگر ما کارهای زیادی برای محافظت از حریم خصوصی شما انجام داده ایم و حتی اگر اطلاعات شخصی را جمع آوری نکنیم ، برخی از اطلاعات مربوط به گزارش توسط ما و دیگران به موجب شما با استفاده از مرورگر وب ارسال و جمع آوری می شود. با این حال ، چندین روش برای محافظت بیشتر از حریم خصوصی شما وجود دارد. روشی که استفاده از آن بر اساس نرم افزار منبع باز رایگان است و کاملاً مناسب است ، استفاده از مرورگر Tor است . این مرورگر برای محافظت از حریم خصوصی شما در چندین سطح - از جمله استفاده از شبکه Tor - طراحی شده است . سایت ما از قبل از طریق شبکه پیاز Tor قابل دسترسی است ، این بدان معناست که دسترسی به سایت ما از طریق Tor نیازی به استفاده از گره خروجی ندارد ، که کسی استراق سمع ترافیک گره خروجی را رد می کند . با این حال ، به یاد داشته باشید که حتی در این سناریو ، ISP شما می تواند ببیند که شما از Tor استفاده می کنید - البته نه برای چه. حتی می توانید به VPN متصل شوید و سپس مرورگر Tor را برای دو لایه ناشناس راه اندازی کنید. با این حال ، به یاد داشته باشید که ISP شما همچنان می تواند در این سناریو از VPN استفاده کند - البته نه برای چه. اگر نمی خواهید ISP شما از پروتکل های شما استفاده کند ، می توانید به یک شبکه WiFi عمومی بزرگ مانند کتابخانه ، مدرسه و غیره متصل شوید و سپس از مرورگر Tor استفاده کنید.
اگر به ایالات متحده اعتماد نکنم چه می کنم؟
سرورهای ما در ایالات متحده واقع شده اند. علاوه بر این ، ارائه دهنده CDN ما ، Cloudflare ، یک شرکت مستقر در ایالات متحده است. ما سعی کرده ایم نیاز به اعتماد به ما یا کشوری که سرورهای ما در آن اقامت دارند را برطرف کنیم زیرا ما اطلاعات شخصی را جمع آوری نمی کنیم ، نمی توانیم هیچ پیامی را رمزگشایی کنیم و بلافاصله پس از دریافت همه موارد حذف می شود. با این حال ، ما می توانیم برخی از بی اعتمادی ها را درک کنیم زیرا این امر مبتنی بر وب است و به خصوص اگر در کشورهای خاصی زندگی می کنید. ما در حال برنامه ریزی برای ارائه گزینه هایی در ایسلند و سوئیس برای افرادی هستیم که اعتماد به نفس سختی در ایالات متحده دارند. اگر این مورد به شما مربوط می شود ، لطفاً به ما اطلاع دهید ، زیرا تا زمانی که تقاضای واقعی وجود نداشته باشد ، انگیزه ای برای ارائه گزینه های دیگر نخواهیم داشت.
برای جلوگیری از هرزنامه چه کاری انجام می دهید؟
هر زمان به شما اجازه می دهد کسی پیامی را ارسال کند که می تواند از طریق پیوند ارسال شود ، از اسپمرها دعوت می کنید. مهار این مشکل کاملاً ساده نیست. به چند دلیل نمی خواهیم CAPTCHA شخص ثالث را به عنوان بخشی از روند ارسال پیام بارگیری کنیم:
- ما از CAPTCHA متنفریم - آنها زمان می برند و آزار دهنده هستند
- بارگیری javascript شخص ثالث می تواند به حریم خصوصی و امنیت حمله کند
- اجرای CAPTCHA خود به این معنی است که در حال ثبت نام در یک بازی پایان ناپذیر Whack-a-Mole هستیم
- در نهایت ممکن است افراد بخواهند از طریق API بتوانند با این سرویس ارتباط برقرار کنند
- افزایش تعداد تکرارهای مورد نیاز PBKDF2 / SHA-256
همه پیام ها فقط تعداد کمی می توانند بازیابی شوند - این ویژگی برای اسپمرها جذابیتی ندارد زیرا آنها به ارسال پیام های زیادی اعتماد می کنند. از آنجایی که هرزنامه نویس مجبور است پیام های زیادی را برای هرگونه فعالیت ناخواسته ایجاد کند - ما تصمیم گرفته ایم که این کار را از نظر محاسباتی بسیار گران بدانیم و سو ab استفاده از این سرویس برای هرزنامه را اقدامی جذاب نکنیم. این امر با پیگیری شبکه های ارسال پیام - که از نظر کل بازیابی های احتمالی اندازه گیری می شود ، محقق می شود. اطلاعات شبکه به خودی خود به طور امن هش شده است ، بنابراین ما نمی توانیم شبکه واقعی را از هش استنتاج کنیم. همانطور که شبکه معین پیام های بیشتری ارسال می کند ، تعداد تکرارهای PBKDF2 / SHA-256 مورد نیاز برای ارسال پیام بعدی را افزایش می دهیم. این خیلی سریع منجر به صرف زمان زیادی از پردازنده فقط برای ارسال یک پیام می شود. امیدوارم این روش برای جلوگیری از سو abuse استفاده از هرزنامه کافی باشد و در عین حال تأثیری در کاربران واقعی نداشته باشد. - گزارش های هرزنامه کاربران را هنگام بازیابی پیام جمع آوری کنید
وقتی کاربر پیامی را بازیابی می کند ، دکمه "گزارش هرزنامه" درست در زیر پیام وجود دارد. اگر پیامی هرزنامه است ، امیدوارم که برخی از آنها 3 ثانیه زمان لازم برای کلیک روی آن دکمه را طی کنند. وقتی گزارش هرزنامه دریافت می کنیم ، به ما هشدار می دهد و همچنین می تواند بر تکرارهای مورد نیاز PBKDF2 / SHA-256 برای یک شبکه خاص تأثیر بگذارد.
چرا گزینه ای برای نیاز به گیرنده برای تکمیل CAPTCHA وجود دارد؟
اگرچه درست است که ما از CAPTCHA متنفر نیستیم ، اما تشخیص می دهیم که آنها برای یک هدف کار می کنند و دارای زمان و مکان هستند (حداقل فعلاً) این یک روش ساده برای فرستنده است تا اطمینان حاصل کند که گیرنده انسان است و فرایندهای خودکار به پیام دسترسی ندارند.
چه کسی این سرویس را اجرا می کند و چرا رایگان است؟
ما فقط یک زن و شوهر هستیم که بعضی اوقات با این مشکل روبرو می شویم که گزینه های خوبی برای محافظت از حریم خصوصی خود نداریم. این اوقات اغلب ناشی از برقراری ارتباط با دوستان و اعضای خانواده بود که خیلی مراقب نحوه برخورد با دستگاه ها و اطلاعات خود نبودند. در سایر موارد ، این امر هنگام استفاده از انجمن های تحت وب مانند Reddit یا استفاده از سیستم های پشتیبانی مبتنی بر وب اتفاق می افتاد. ما چند راه حل پیام موقت مبتنی بر وب پیدا کردیم ، اما هیچ یک از آنها E2EE را ارائه ندادند و این بدان معنا بود که نمی توانیم به آنها اعتماد کنیم. بنابراین ما فقط راه حل خودمان را ساختیم و تصمیم گرفتیم آن را ارائه دهیم تا دیگران بتوانند از آن بهره مند شوند.
چگونه می توانم به پاسخ س questionsالات بالا اعتماد کنم؟
واقعاً شما نباید به هر وب سایتی اعتماد داشته باشید فقط به این دلیل که برخی موارد را بیان می کند - به طور معمول ایده خوبی برای تأیید هر گونه ادعا است. ما سعی کرده ایم با استفاده از رمزنگاری end-to-end ، الزاما به اعتماد هرچه بیشتر ما برطرف کنیم. به عنوان مثال ، بررسی آن بسیار آسان است که ما نمی توانیم هیچ پیامی را بخاطر رمزگذاری شده بخوانیم. ما همچنین کد javascript را که در حال اجرای این سایت است بسیار ساده نگه داشته ایم تا خواندن و فهم آن آسان باشد. ساختن همه کد منبع باز به مردم اجازه می دهد تا بررسی کنند که چه چیزی اجرا می شود. با این حال ، بخاطر داشته باشید هیچ راهی برای تأیید واقعی کارکرد سرور وجود ندارد. اگرچه درست است که بسیاری از موارد مورد نیاز اعتماد با رمزگذاری پایان به انتها برداشته می شود ، اما هنوز عاملی است که کاربران ما هنگام تصمیم گیری برای استفاده از این سرویس یا عدم استفاده از آن بسیار سنگین می شوند.