Жиі Қойылатын Сұрақтар
- Неге бұл сайт нашар аударылған? ⎃
- Бұл қызмет қаншалықты қауіпсіз?
- Неге мен бұл жерде хабарламаның шифрын ашатын сілтеме алдым?
- Сіз осы сайтқа жіберілгендердің барлығын өшіресіз бе?
- Бұл қызметті не үшін пайдалану керек?
- Бұл хабар алмасу қызметі ме?
- Пайдалануға арналған жағдайлар қандай?
- Бұл қызметті не үшін пайдаланбау керек?
- Неліктен тек PGP / Signal / OMEMO / Matrix / және басқаларын қолданбасқа?
- Қандай талаптар бар?
- Алушы хабарламаның көшірмесін жасай ала ма?
- Жеке ақпарат жиналды ма?
- Қандай ақпарат тіркеледі?
- Серверлерді қорғау үшін не істеп жатырсыз?
- Осы сайтты пайдалану кезінде қандай қауіпсіздік қауіптері бар?
- Сіз «ортадағы адам» (MITM) шабуылына қатысты не істеп жатырсыз?
- Шолғыш кеңейтімдері қандай артықшылықтар ұсынады?
- Жіберілген нәрсенің соңына дейін шифрланғанын қалай анық білуге болады?
- Осы сайтта ұштық-шифрлау қалай жұмыс істейді?
- Шифрды ашу құпия сөзі URL мекен-жайында болуы мүмкін бе?
- Бірақ шифрды ашу паролі URL мекенжайында болуы міндетті емес пе?
- Бұл қызмет сілтемені алушыға жеткізбейді ме?
- Осы қызметті пайдалану кезінде жеке өмірімді қалайша қорғауға болады?
- Егер мен Америка Құрама Штаттарына сенбесем ше?
- Сіз спамның алдын алу үшін не істеп жатырсыз?
- Неліктен алушыдан CAPTCHA толтыруды талап ететін нұсқа бар?
- Бұл қызметті кім басқарады және ол неге ақысыз?
- Жоғарыдағы сұрақтардың жауаптарына қалай сенуге болады?
Неге бұл сайт нашар аударылған? ⎃
Кешіріңіз, бірақ қазіргі авторлар тек ағылшын тілінде сөйлейді. Бізге бұл жобаны басқа тілдерге аударуға көмек қажет. Бұл қызметті ағылшын тілін білмейтін адамдарға қол жетімді етудің қарапайым және арзан құралы ретінде біз машиналық аударманы қолданамыз. Нәтижелер әдетте қолайлы, бірақ түсініксіз тұжырымдарға немесе тіпті дұрыс емес ақпаратқа әкелуі мүмкін. Сіз бізге бәріне тәжірибені жақсартуға көмектесе аласыз - дұрыс аударманы жіберіңіз .
Бұл қызмет қаншалықты қауіпсіз?
Біз бұл қызметті мақсатты пайдалану үшін қауіпсіз ету үшін көптеген қадамдар жасадық. Осы қадамдардан бұрын, келесілерді түсіну маңызды:
- Біз сіздің хабарламаңызды оқырманмен шифрлауға байланысты оқи алмайтын болсақ , әдепкі сілтемеде шифрды шешудің құпия сөзі / кілті бар ; сондықтан сілтемені иеленген кез-келген адам сіздің хабарламаңызды оқи алады, оның ішінде оны ұстай алатын кез келген адам.
- Бұл қызмет тек тұрақты (мысалы, электрондық пошта / мәтін / жедел хабар алмасу / веб-сайт / және т.с.с.) дәстүрлі көлік құралдары арқылы аз тұрақты байланыстарды жіберуге мүмкіндік беретін құрал (мысалы, іздеу кезінде жойылатын шифрланған хабарламалар). Бұл таңдалған тасымалдауға (мысалы, электрондық поштаға) қатысты кез-келген қауіпсіздік / құпиялылық мәселелері осы құралды қолданған кезде мұраға қалдырылатынын білдіреді .
- Сіздің қажеттіліктеріңізге және қоршаған ортаңызға байланысты қауіпсіздікті қамтамасыз ететін басқа да шешімдер бар. Бұл қызметтің басқалармен салыстырғанда ұсынатын басты артықшылығы - алушыға қойылатын талаптар әлдеқайда төмен (яғни, оларға веб-шолғыш пен сілтемені басу мүмкіндігі қажет).
- Әдепкі параметр - хабарламаларды алу кезінде жою , алушының көшірмесін жасауға ештеңе кедергі болмайды . Есіңізде болсын, бұл хабарламаның барлық уақытша шешімдеріне қатысты - егер қабылдаушы хабарламаны көре алса, оны көшіруге болады.
- Интернет байланысының бәрі сіздің жеке өміріңізге нұқсан келтіруі мүмкін - сіз өзіңізге ыңғайлы болу үшін қауіпсіздікті қамтамасыз етесіз.
- Қауіпсіздік мәселесінде кейбір маңызды мәселелерге байланысты веб қиын орта болып табылады - бұл барлық веб-сайттарға қатысты. Интернетке негізделген болу сіздің хабарламаңызды оқи алмайтындығымызды растауға көмектеседі .
- Бұл веб-сайт және оның мәліметтер базасы АҚШ-та орналасқан. Біз контентті жеткізу желісі ретінде Америка Құрама Штаттарында орналасқан Cloudflare компаниясын қолданамыз (барлық веб-трафик осы желіні аралап өтеді).
- Қызметті пайдалану үшін жеке ақпарат қажет емес (мысалы, аты-жөні / электрондық пошта / телефон / т.б.). Есептік жазба жүйесі жоқ (яғни логин / пароль / т.б); сондықтан кез-келген деректерді бұзу бұл ақпаратты жібере алмайды.
- Хабарламаның барлық мазмұны ұшынан ұшына дейін шифрланған . Басқаша айтқанда, шифрды ашу кілті / құпия сөз бізге ешқашан жіберілмейді. Сондықтан, бізде немесе мәліметтер базасын иемденген басқа адамдарда хабарламаның мазмұнын шифрдан шығаруға және көруге мүмкіндік жоқ.
- Біздің дерекқордағы барлық жазбалардың өмір сүру уақыты 1 минуттан 2 аптаға дейін (әдепкі бойынша 1 аптаға дейін) бар. Осы уақыт өткеннен кейін жазба автоматты түрде жойылады. Сондықтан біздің базадағы кез-келген ақпарат құрылғаннан кейін көп ұзамай жойылады .
- Біз тек соңғы 24 сағаттық веб-сервер журналдарын жүргіземіз . Деректер қорында сақталған кез-келген IP ақпарат қауіпсіз жинақталған, сондықтан түпнұсқа IP-ді шығару мүмкін емес.
- Бұл қызметті қосатын барлық кодтар бастапқы код болып табылады және оларды қарау үшін қол жетімді. Сіз шифрлауды басқаратын кодты оңай көре аласыз - бұл қысқа, нақты және түсініктеме.
- Қауіпсіздікті нығайтуға көмектесетін бірқатар техникалық сақтық шаралары қолданылады, олардың кейбіреулері:
- / Api-ден басқа барлық веб-сайт тұрақты болып табылады және беттерде сервер кодын қолдамайды (яғни PHP / JSP / ASP / etc.)
- Браузердің бөлігі болып табылатын Web Crypto API барлық хабар мазмұнын шифрлау үшін қолданылады.
- TLS сіздің браузеріңіз бен біздің серверлеріміз арасындағы байланысты шифрлау үшін қолданылады. Бұл кодты транзит кезінде ұстауға немесе өзгертуге болмайтындығына көмектеседі. TLS 1.3-ке қолдау көрсетіледі, бірақ біз TLS 1.2-ге ескі құрылғыларға қолдау көрсетеміз. TLS-тің ескі нұсқалары өшірілген, себебі олар онша қауіпсіз емес.
- Сертификаттардың мөлдірлігі журналдары сертификаттардың дұрыс берілмеуін бақылайды. Сонымен қатар, біз сертификаттың жоспарланбаған немесе зиянды шығарылу қаупін азайту үшін Куәландырушы Органның Авторизациясы (CAA) саясатын жариялаймыз.
- Біз браузерлердің әрқашан TLS протоколы арқылы біздің серверлермен байланыс орнатуын қамтамасыз ету үшін HTTP қатаң көлік қауіпсіздігін (HSTS) қолданамыз. Сонымен қатар, біз домендерімізді алдын-ала жүктеу тізіміне қосамыз.
- Мазмұнды қатаң сақтау саясаты кросс-сайт сценарийлерінің (XSS) шабуылдарының алдын алу үшін қолданылады.
- А пайдалану арқылы Cross-тегі Resource саясатын , бір Крест-тегі Embedder саясатын , және Крест-тегі Opener саясатын , біз призрак және Meltdown сияқты алып-сатарлық жағы-арна шабуылдардан көмек жұмсарту мақсатында көлденең шығу коды тыйым. Бұл сондай-ақ шолу мәтінмәнін тек бір түпнұсқа құжаттарға оқшаулау арқылы басқа шығу тегі ықтимал зиянды сұраулардан қорғауды ұсынады.
- Біз сіздің браузерге сіздің жеке өміріңізге зиян келтіруі мүмкін ресурстардың жүктелуіне жол бермеу үшін Рұқсаттар саясатын қолданамыз, мысалы сіздің орналасқан жеріңіз, веб-камераңыз, микрофоныңыз және т.б.
- DNSSEC барлық домендерде DNS-негізделген MITM шабуылдарын азайтуға көмектесу үшін қолданылады.
- Серверді қорғау үшін біз бірнеше сақтық шараларын қолданамыз.
- Үшінші тарап коды жүктелмейді (яғни jQuery) және ресурстардың өте аз мөлшері жүктеледі (тексеру үшін Dev Tools ішіндегі Network қойындысын ашыңыз) - бұл тексеру үшін қажет күш-жігерді азайтады. Ерекшелік - егер CAPTCHA қажет болса - үшінші тарап кодын hCaptcha- дан жүктейді. Алайда, hCaptcha коды өзінің URL мекен-жайына өзінің CSP ережелерінде жүктеледі және хабарламамен байланысты кез-келген уақытта еш уақытта қол жеткізе алмайды.
- MITM шабуылдарынан қорғауға көмектесетін құрал ретінде шолғыш кеңейтімдері қол жетімді .
Неге мен бұл жерде хабарламаның шифрын ашатын сілтеме алдым?
Бұл аудармада қателер болса кешірім сұраймыз. Бұл қызмет жай ғана шифрланған хабарламаны бір нүктеден екінші нүктеге жібереді және сіз алушысыз. Хабар жақында жойылады. Бұл қызметтің операторларының хабарлама мазмұнын оқуға мүмкіндігі жоқ. Әдетте біреу бұл қызметті хабарлама мазмұны әртүрлі мәліметтер базасында / құрылғыларда / қызметтерде / файлдарда / т.б. сақталуын қаламайтын кезде пайдаланады. электрондық пошта / жедел хабарлама / мәтін / т.б жіберген кездегідей. Шифрды ашуды шешсеңіз, келесіні есте сақтаңыз:
- Хабар құрылғыға шифрды ашу үшін жіберілгеннен кейін дереу жойылатын шығар. Бұл дегеніміз, сіз хабарламаның шифрын ашу үшін батырманы басқаннан кейін, біз сізге кейінірек қайта жіберетін көшірмеміз болмайды.
- Біз алынған барлық ақпаратты жүйелі түрде жоямыз. Хабарлар оны жасағаннан кейін бір минуттан екі аптаға дейін кез келген жерде жойылады - хабарлама қашан шифрланғанына қарамастан. Басқаша айтқанда, егер сізге хабарламаны оқу қажет болса, оның шифрын ашуды ұзақ күттірмеңіз.
- Жіберуші хабарламаның мазмұнын мұқият қарау керек деп санайды. Олар тіпті көшірмелердің жасалмауын қалайтындықтарын білдірген болуы мүмкін. Өтінемін, олардың тілектерін құрметтеңіз.
- Егер сізге хабарламаның шифрын ашу үшін пароль сұралса, шолғыш терезесін / қойындысын жаппаңыз. Осы тізімдегі бірінші нүктеге сәйкес, біз басқа көшірмені кейін жібере алмаймыз. Құпия сөзді енгізгенше браузер терезесін / қойындысын ашық қалдырыңыз. Егер сіз дұрыс емес пароль енгізсеңіз, сізден қайта сұралады. Парольді дәл енгізу керек. Есіңізде болсын, әр түрлі тілдер мен пароль талаптарын ескеру үшін біз парольдерде әр түрлі таңбаларды қабылдаймыз.
Сіз осы сайтқа жіберілгендердің барлығын өшіресіз бе?
Біздің қоқыс жәшігінің логотипіне сәйкес ... бәрі алынғаннан кейін көп ұзамай жойылады. Барлығын жою автоматтандырылған - ол серверге жазылады. Осыны ойлап көріңіз - ақпараттың екі сыныбы ұсынылған:
- Шифрланған хабарламалар, олар үшін бізде мазмұнды шифрдан шығаруға мүмкіндік жоқ
- Интернетте кез-келген нәрсені жіберуге қатысты басқа ақпарат (яғни сіздің IP-мекен-жайыңыз және т.б.)
- Хабарды ешкім қабылдамаса, біз оны қанша уақыт ұстауымыз керек (1 минуттан 2 аптаға дейін - әдепкі бойынша 1 аптаға дейін).
- Хабар қанша рет алынады (1-ден 100 ретке дейін - әдепкі бойынша 1 рет)
Бұл қызметті не үшін пайдалану керек?
Бұл қызмет - сіз жіберетін / алатын хабарламаларды тұрақты етуге көмектесетін құрал. Интернетте сіз сөйлесетіндердің көп бөлігі (чаттар, мәтіндер, электрондық пошта және т.б.) сақталады және сирек жойылады. Көбінесе, сіз бірдеңені жойғанда, ол шынымен жойылмайды, керісінше жойылған деп белгіленеді және сізге бұдан былай көрсетілмейді. Сіздің жиынтық байланыстарыңыз жылдан жылға мәліметтер базасында және сіз басқара алмайтын құрылғыларда жинақталады. Сіздің байланысыңызды сақтайтын ұйымдардың / адамдардың / құрылғылардың біреуі немесе бірнешеуі хакерлік шабуылға ұшырайды және сіздің ақпаратыңыз сыртқа шығады. Бұл проблеманың кең етек алғаны соншалық, қазіргі кезде ұйымға қауіп төнген және пайдаланушы туралы ақпараттарды таратқан көптеген веб-сайттар бар. Уақытша шифрланған уақытша хабарламалар - бұл сіздің кейбір байланыстарыңызды тұрақты етуге көмектесетін қарапайым шешім. Осы сайтқа жіберілген әрбір хабарламада 1 минуттан 2 аптаға дейінгі уақыт аралығында болады - осы уақыт өткеннен кейін хабарлама жойылады. Сонымен қатар, әдепкі параметр - алушы оны алғаннан кейін кез-келген хабарламаны жою. Сонымен қатар, барлық хабарламалар құрылғыдан алушының құрылғысына дейін шифрланған. Түпкілікті шифрлауды пайдаланудағы басты мақсат - кез келген жіберілген хабарламаларды оқу қабілетімізді жою, сол арқылы сенімге деген қажеттіліктің бір бөлігін алып тастау. Нәтижесінде енді қарапайым сілтеме арқылы шифрланған хабарлама жіберу оңай. Бұл хабарлама жіберілгеннен кейін көп ұзамай немесе алынғаннан кейін жойылады. Сізге арнайы бағдарламалық жасақтаманы орнату / конфигурациялау қажет емес. Сізге тіркелгі жасаудың немесе қандай да бір жеке ақпарат берудің қажеті жоқ. Алушының сіздің байланысыңызда болуы немесе тіпті бұл қызмет туралы білуі міндетті емес - бұл сілтемені басуының жалғыз шарты.
Бұл хабар алмасу қызметі ме?
Жоқ. Бұл қызмет жедел хабар алмасу / электрондық пошта / мәтін / т.б. сияқты бар хабар алмасу қызметтерін толықтыруға арналған. жіберілген хабарламалардың ұзақ уақыт сақталуына жол бермеу қабілетін қосу арқылы. Біз жасалған сілтемені алушыға жеткізбейміз .
Пайдалануға арналған жағдайлар қандай?
Сонымен, бұл қызметті пайдалану сценарийлері қандай? Әрқайсысының жеке өмірі мен қауіпсіздігі туралы әр түрлі қажеттіліктері мен талаптары болғанымен, мен жеке өзім келесі жағдайларды пайдалану жағдайлары ретінде таптым:
- Сіз жергілікті веб-форум арқылы осы аймақтағы тау велосипедтері туралы сөйлесесіз, кейде форумда адамдармен кездесіп, жаңа соқпақтармен танысасыз. Форумнан біреу сізді осы демалыс күндері көлігімен жүру үшін өзіңіздің орныңызға алып кеткісі келеді. Сіз өзіңіздің мекен-жайыңыздың осы веб-сайт форумының мәліметтер базасында мәңгі отыруын қаламайсыз. Осы қызмет арқылы мекен-жайды жіберу жеткілікті - сілтеме веб-сайт форумының мәліметтер базасында болады, бірақ оны алушы оқығаннан кейін хабарлама / мекен-жай жойылады.
- Сіз өзіңіздің ағаңызға Netflix логиніңізді жіберуіңіз керек, себебі сіздің жиеніңіз оны COVID құлыптауы салдарынан есінен айырады және оның әлі де жеке шоты жоқ. Сіз бұл логинге қатты мән бермейсіз, бірақ сіздің ағаңыз мен «цифрлық гигиена» деп атайтын нәрсені өте нашар біледі және бұзылған кірулер мен зиянды бағдарламалармен көптеген сынақтардан өтті. Кейін оны әрекетін тазартуға мәжбүрлеу, тіпті оған қауіпсіз хабар алмасуды орнату әрекеттері орындалмады. Тек оны мәтіндік хабарлама арқылы жіберу ең жақсы нұсқа болуы мүмкін (өкінішке орай), бірақ сіз өткен тәжірибеге байланысты оның логинін оның хабарламалар тарихына енгізгеніңіз үшін ыңғайсызсыз. Мәтіндік хабарламадағы сілтеме арқылы логинді жіберу үшін бұл қызметті пайдалану оның сұхбаттасу тарихында логиннің мәңгі қалуына жол бермейді.
- Сіз кейде барлық уақытта келетін және кететін көптеген жалға алушылар бар кеңседе жұмыс істейсіз. WiFi-ді пайдалануға болады, бірақ құпия сөз апта сайын айналады, өйткені теріс пайдалану проблемалары туындады. Көптеген жалға алушылар WiFi паролін алдын-ала партада тұрғанымен электрондық пошта арқылы / мәтінмен сұрайды, себебі көпшілігі алдыңғы негізгі кіреберіс арқылы кірмейді. Осы қызметті пайдалана отырып, кеңсе менеджері WiFi құпия сөзін электрондық поштадағы / мәтіндік жауаптағы сілтеме арқылы жібере алады, пароль ұзаққа созылмайды, сонымен қатар алушыға парольді көшіру батырмасы арқылы дереу көшіріп алуға мүмкіндік береді, ол мобильді құрылғыларда аз болады.
- Сіздің хостинг-провайдерлеріңіздің біреуі қатты дискінің нашар көрінетін белгілері туралы хабарлаған сервер туралы мәлімет сұрайды. Оларға қажет ақпараттың кейбіреулері өте сезімтал - сіз олар қолданатын үшінші тарап билеттер жүйесінде мәңгі болғанын қаламайсыз. Бұл қызметті пайдалана отырып, сіз билеттер жүйесінде болмай-ақ ақпаратты қолдау техниктеріне жібере аласыз. Бірнеше техникке ақпаратқа бірнеше рет сілтеме жасау қажет болуы мүмкін болғандықтан, алғашқы оқуда хабарлама жойылмайтындай етіп, өмір сүру мәнін 1-ден (яғни 20-дан) үлкен етіп орнатыңыз.
- Сізге қоңырау шалу үшін телефон нөміріңізді білу үшін Reddit-тегі басқа пайдаланушыға жеке хабарлама жіберуіңіз керек. Reddit, көптеген басқа провайдерлер сияқты, бұрын қолданушылар туралы ақпараттарды таратқан және сіз телефон нөміріңізді Reddit дерекқорында бірнеше жыл бойы келесі ағып кеткенге дейін отырғыңыз келмейді. Телефон нөміріңізді осы қызмет арқылы жіберу жеткілікті.
- Сіздің жұбайыңыз сіз жұмыста болған кезде сізге коммуналдық қызметке кіру туралы хабарлама жібереді, өйткені оның досы жаңа бағдарламаны пайдаланып көрді, ол оның ақшасын электр энергиясына үнемдеді және ол оны тексергісі келеді. Сіз оған еске салатын ортақ отбасылық пароль менеджері бар, бірақ ол сізден логинді жіберуді қалайды. OMEMO жұбайыңызбен жедел хабар алмасу үшін жұмыс істейді, сондықтан сіз хабарлама тасымалдаудың қауіпсіздігіне сенімдісіз; дегенмен, чат тарихының өзі шифрланбаған түрде сақталады. Сіздің жұбайыңыз жүктеу, электрондық пошта және т.б. туралы әрқашан сақ бола бермейді, ал коммуналдық төлемдер өте сезімтал, өйткені оларды тұрғылықты жерді растау үшін жеке куәлікті ұрлау үшін қолдануға болады. Сіз оның көшірмесін компьютерде сақтамау үшін оған осы қызметті пайдаланып кіру туралы мәліметтерді жібере аласыз.
Бұл қызметті не үшін пайдаланбау керек?
Осы қызметті осы ЖҚС-да түсіндірілген барлық себептер бойынша өте құпия ақпарат үшін пайдалануға болмайды. Төменде не істемеуге болатын бірнеше мысалдар келтірілген:
- Бұл қызметті орынды емес хабарламалар тасымалын «қауіпсізірек» ету үшін пайдаланбаңыз. Әдепкі параметр - бұл хабарламаны оқи алатын URL мекен-жайына парольді енгізу болғандықтан, сілтемесі бар кез келген адам хабарламаны оқи алады. Жоғарыда айтылғандай, таңдалған тасымалдауға тән кез-келген қауіпсіздік / құпиялылық мәселелері (яғни мәтін) сіз осы құралды қолданған кезде мұраға қалады. Мысалы, егер сіз ерекше сипатқа байланысты нақты ақпаратты жіберу үшін электрондық поштаны қолдануды ешқашан ойламасаңыз, онда сіз бұл қызметті электрондық поштаның сол бөлігін «қауіпсіздендіру» үшін пайдаланбауыңыз керек.
- Бұл қызметті хабарламаның көшірмесі жасалмауын қамтамасыз ету үшін пайдаланбаңыз. Шифрланған хабарламаның көшірмесін алу кезінде бірден жойып, көшіруді қиындататын болсақ, бұл хабарламаны көшіру мүмкін емес дегенді білдірмейді. Алушы өз экранын суретке түсірсе ше? Егер олар тек хабарламаны жазып алса ше? Сайып келгенде, егер алушы хабарламаны оқи алса - көшірмесін жасауға болады.
- Бұл қызметті сізге хабарламаның ізделуіне жол бермеу үшін пайдаланбаңыз. Бұл қызмет хабарламаны бір нүктеден екінші нүктеге жеткізу үшін басқа хабарламаларды жеткізушіге тәуелді (яғни электрондық пошта, чат және т.б.). Хабарламаны тасымалдау сізге хабарламаны іздеуі мүмкін.
- Жіберуден бас тартқыңыз келетін нәрсені жіберу үшін бұл қызметті пайдаланбаңыз. Хабардың өзі жойылғандықтан, жойылған хабарламаға сілтеме жойылады дегенді білдірмейді. Егер сіз өзіңіздің досыңызға электрондық хат жіберсеңіз және оның бір бөлігінде осы қызметтің хабарламасына сілтеме болса, кездейсоқ оқырман хабарламада тағы бір нәрсе болғанын біледі. Сілтеме туралы хабарлама әлдеқашан жоғалып кетсе де - басқа нәрсе жіберілгені және оны сіз өзіңіздің досыңызға жібергеніңіз анық.
Неліктен тек PGP / Signal / OMEMO / Matrix / және басқаларын қолданбасқа?
Егер сіз қауіпсіз уақытша хабарламалар жібергіңіз келетін адамды білсеңіз, оларды жиі жіберіп, чатқа ұқсас интерфейсті күтсеңіз және / немесе алушыдан қажетті бағдарламалық жасақтаманы күтіп, оны қалай қолдануды білсеңіз, онда бұл веб-сайт мүмкін емес ең жақсы шешім. Онда көзі ашық, E2EE қолдайтын, вебке негізделген емес, тіпті Signal сияқты уақытша хабарламаларды қолдайтын керемет нұсқалар бар. Мен жақын XMMP серверін және OMEMO- ны жақын достарыммен және отбасыммен сөйлесу үшін қолданамын. Бұл сайтты пайдалану тек алушының қандай бағдарламалық қамтамасыздандырумен жұмыс істейтінін білмесеңіз, олардың телефон нөмірін / байланыс тұтқасын білмесеңіз, олардың техникалық деңгейлерін білмесеңіз (бірақ олар сілтемені баса алады деп ойласаңыз) оңтайлы болуы мүмкін. немесе сіз жіберген хабарламаңызды негізгі байланыс көлігінен тыс жерде сақтауды жөн көресіз.
Қандай талаптар бар?
Веб-крипто API, соның ішінде стандарттарды дұрыс енгізетін заманауи және заманауи веб-шолғыш қажет. Мысалдарға мыналар жатады: Chrome, Firefox, Edge және Safari (шамамен 2020 немесе одан кейін).
Алушы хабарламаның көшірмесін жасай ала ма?
Иә. Хабарлама өзін алу кезінде жойылуы мүмкін болса да, алушы хабарламаны көре алады. Қабылдағыш хабарламаны кез-келген уақытта толығымен қарай алады, оның көшірмесін жасауға болады - бұл барлық байланыстарға қатысты. Алушының көшірмесін жасауын қиындату мүмкіндігі бар. Бұл жағдайда көшіруге үш кедергі жасалады:
- Көшіру түймесі жойылды. Бұл батырма әдепкі бойынша алушыға хабарламаны толығымен алмасу буферіне көшіруге мүмкіндік береді.
- Жүктеу түймесі жойылды. Бұл батырма әдепкі бойынша алушыға хабарламаны мәтіндік файл ретінде жүктеуге мүмкіндік береді.
- Хабарлама мәтін жолағындағы мәтінді таңдау мүмкіндігі жойылады.
Жеке ақпарат жиналды ма?
Біз пайдаланушы тіркелгілерін қолдамаймыз (яғни пайдаланушы аты / пароль). Біз сізді анықтайтын ешқандай ақпарат жинамаймыз (яғни аты-жөні / мекен-жайы / электрондық пошта / телефон). Сіз жіберетін хабарламада кейбір жеке ақпарат болуы мүмкін, бірақ ол шифрланған және бізде оны оқудың мүмкіндігі жоқ. Толық ақпарат алу үшін құпиялылық саясатымызды қарап шығыңыз.
Қандай ақпарат тіркеледі?
Біздің веб-сервер барлық веб-әрекеттерде 24 сағатқа дейін ортақ журнал пішімін сақтайды. Бұған HTTP клиенттерінің толық IP мекенжайын тіркеу кіреді. 24 сағаттан кейін бұл тіркелген ақпарат автоматты түрде жойылады. / Api-ге жіберілген барлық сұраулар POSTed, яғни веб-сервер ешқандай хабарлама туралы ақпаратты ешқашан тіркемейді. Сонымен қатар, дерекқорға сақталған кез-келген ақпарат тиімді түрде тіркеледі. Деректер базасындағы барлық жазбалардың, оның ішінде анонимді және хэшті IP мекенжайлардың жарамдылық мерзімі (TTL) бар, содан кейін олар автоматты түрде жойылады. TTL жарамдылық мерзімі 1 минуттан 2 аптаға дейін өзгереді.
Серверлерді қорғау үшін не істеп жатырсыз?
Сервер қауіпсіздігі айқын алаңдаушылық туғызады. Қауіпсіздікті сақтау үшін екі негізгі бағытқа назар аударамыз:
- Біріншіден, біз мүмкіндігінше аз уақытты сақтаймыз, егер сервер бұзылып қалса, кез-келген ақпарат ағып кетсе, біздің пайдаланушыларға зиян тигізбейді. Деректер қорында сақталған барлық хабарламалар шифрды ашуға ешқандай мүмкіндік бермейді. Кез-келген пайдаланушыға қандай-да бір хабарламаны байланыстыратын ештеңе сақталмаған, өйткені біз қолданушылардан жеке ақпарат жинамаймыз. Дерекқордағы барлық жазбалардың жарамдылық мерзімі (TTL) 1 минуттан 2 аптаға дейін бар - осы уақыт өткеннен кейін жазба автоматты түрде жойылады. Сондықтан дерекқорда болған ақпараттың басым көпшілігі әлдеқашан жойылған.
- Біз ымыраға жол бермеу және орын алатын кез-келген ымыраны болдырмау үшін бірқатар шараларды қолданамыз:
- Nginx веб-сервері оқшауланған контейнерде авторизацияланбаған пайдаланушы ретінде журналдардан басқа ешнәрсеге жазбаша қол жетімділіксіз іске қосылады. Контейнер өзінің жеке SELinux контекстінде жұмыс істейді, әрі кез-келген файл жүйесінің өзгеруіне немесе контейнерден оңай қашуға мүмкіндік бермейді. PHP / ASP / JSP / etc үшін қолдау жоқ. - тек статикалық ресурстарға қызмет ету.
- / Api коды Go-де жазылған, ол оны буферлік толып кету осалдығына (жалпы шабуыл векторы) төзімді етуі керек. Go процесі оқшауланған контейнерде деректер базасынан басқа ешнәрсеге жазбаша қол жетімділігі жоқ пайдаланушы ретінде жұмыс істейді. Контейнер өзінің жеке SELinux контекстінде жұмыс істейді, әрі кез-келген файл жүйесінің өзгеруіне немесе контейнерден оңай қашуға мүмкіндік бермейді. Деректер базасы, badgerdb - бұл Go процесінің бөлігі (дерекқордың сыртқы тәуелділігі / процесі жоқ).
- Сервердің ымыраға келуінің басты қауіптілігі - шабуылдаушының файлдарды біздің қолданушыларымыздың жеке өміріне / қауіпсіздігіне нұқсан келтіретін етіп өзгерте алуы. Бөлінген процесс барлық веб-сайттардың кез-келген өзгертулерін бақылайды және өзгеріс болған жағдайда бізге дереу ескертеді.
- Барлық әкімшілік қол жетімділік қорғалған және рұқсат етілген желілермен шектелген.
Осы сайтты пайдалану кезінде қандай қауіпсіздік қауіптері бар?
Осы тәуекелдердің кейбірін нақты қарастырмас бұрын, менің ойымша, жартылай қысқаша аналогия кез-келген Интернет-коммуникацияны пайдаланудағы тәуекелдерді қорытындылауға көмектеседі. Кез-келген жүйенің тізбектің әлсіз буыны сияқты қауіпсіз болатындығын елестетіңіз. Енді сценарийді елестетіп көріңіз, жабық бөлмеде екі адам не істейтінін көруге, естуге немесе жазуға мүмкіндігі жоқ. Біреуі хабарламаны оқығаннан кейін өртейтін екіншісіне хабарлама жібереді. Егер сол бөлмеден тыс жерде біреу әлдеқашан жіберілген хабарламаны алғысы келсе, бұл өте қиын болады. Хабарламаны алу үшін ең әлсіз сілтеме қандай? Таңдау үшін көп сілтеме жоқ - оның өте қысқа тізбегі. Енді елестетіп көріңізші, сіз Интернетте хабарлама жіберген кезде тізбекте кем дегенде миллион сілтеме бар - олардың көпшілігі әлсіз - көбісі сіздің бақылауыңыздан тыс - және бұл шындық.
Шифрлауды қолдану жоғарыда келтірілген миллион сілтеме мәселесіне айтарлықтай көмектеседі және оны жақсы ойластырылған E2EE жүйелері түпкілікті шешуге мүмкіндік береді деп ойлауға оңай. Алайда, бұл ойлау сізді қиындықтарға душар етуі мүмкін, өйткені шабуылдаушы жүйенің әлсіз буындарының артынан еріп кетеді. Мысалы, сіздің телефоныңыз бен компьютеріңізді басып алу және кіру журналын орнату тек сіз тергеннің бәрін оқып шығу үшін оңай, сым арқылы шифрланған хабарларды бұзудан гөрі оңайырақ. Төменгі жол: егер маған өмірлік / сыни маңыздылықтың құпиясын айту тапсырылса, мен электронды коммуникацияларды соңғы әдіс ретінде қолданар едім.
Сонымен, кез-келген коммуникацияны пайдалану қаупі бар, бірақ сіз банктік қызметке, заттарды сатып алуға, электрондық поштаға және т.с.с. веб-шолғышты қолданасыз. Бұл үлкен қолайлылық үшін қабылданған тәуекел. Шынында да сұрақ ... осы сайт үшін қандай қауіпсіздік қауіптері бар? Бірнеше адам еске түседі:
- Бәлкім, бұл қызметке ең үлкен қауіп және ең ерекше қауіп - біздің қолданушылар нені жөнелтуге болатынын және не жіберуге болмайтынын анықтағанда дұрыс пікірді қолданбайтындығында. Кейде «мен бұл ақпаратты электронды пошта арқылы жібергенді ұнатамын - электрондық пошта оқылғаннан кейін жойылғанын қалаймын» және «маған бұл ақпаратты электронды пошта арқылы жіберу ыңғайсыз - электронды пошта - бұл орынсыз тасымалдау» деген айырмашылық өте нәзік болуы мүмкін.
- Бұл сайт операторлары әрдайым қараңғы мақсатқа жету үшін қызметті пайдалануға мәжбүрлейтін жаман актерлер деген қауіп әрдайым бар. Біз сенімді, кез-келген нәрсені жеңілдететін және ақысыз етіп жасайтын - көптеген адамдардан сервисті пайдаланатын кездестіреміз. Бвахахахаха! Бізге қалай сенуге болады?
- Біздің кодта қауіпсіздікке әсер ететін қателіктер болуы мүмкін немесе біз жай ғана жақсылап ойламадық, ал біздің кемшіліктеріміз пайдаланушыларды қажетсіз қауіпке ұшыратады. Біз үміт етпейтінімізге сенімдіміз, бірақ оны жоққа шығара алмаймыз.
- Шифрланған деректердің терабиттері бар, олардың орасан зор желілерінен үнемі ағып тұратын тех-титандардан айырмашылығы, мұнда жеке коммуникацияның басқа трафикпен араласуы оңай, дербес орталықтандырылған қызметтер (мысалы, Сигнал, Telegram және біз) ерекшеленеміз. Желілік операторға немесе тіпті ірі ұйымға / үкіметке xxxx IP мекен-жайы XYZ қызметін қолданып жатқанын түсіну оңай.
- Бұл сайтқа тән болмаса да, оны кез-келген веб-сайтқа қарсы қолдануға болатындықтан, ортада адам (MITM) шабуылдары алаңдаушылық туғызады .
Сіз «ортадағы адам» (MITM) шабуылына қатысты не істеп жатырсыз?
Барлық веб-сайттардың пайдаланушылары MITM шабуылының құрбаны болуы мүмкін - бұл сайт осыған байланысты вебтегі басқалардан ерекшеленбейді. MITM шабуылы - бұл шабуылдаушының пайдаланушының шолушысы мен сайттың веб-сервері арасындағы байланысты ұстап, өзгерте алуы. Бұл шабуылдаушыға сайттың кез-келген кодын / мазмұнын өзгертуге мүмкіндік береді, ал ол соңғы пайдаланушыға өздері үйреніп қалған сайт болып көрінеді. MITM шабуылын қиындату үшін біз кейбір шараларды қолданамыз:
- HSTS браузерлерді тек TLS арқылы қосылуға мәжбүрлеу үшін қолданылады. Біздің сервер қайта бағыттаудан басқа TLS емес байланысты елемеуге конфигурацияланған. Тек TLS 1.2 немесе одан жоғары нұсқаларына қолдау көрсетіледі.
- DNSSEC біздің домен аймағына қол қою үшін қолданылады. Егер қолданушы DNSSEC-ті білетін рекурсивті шешімді қолданса, бұл DNS-спифингін MITM шабуылдарын тоқтатуы мүмкін.
- Біз доменге сілтеме жасайтын кез-келген рұқсат етілмеген TLS сертификаттарын беретін сертификат органдарын бақылау үшін қызметті қолданамыз.
- Біз соңғы пайдаланушының құрылғысында сақталған кодты қолданып, хабарларды шифрлауды қолдау үшін браузердің кеңейтімдерін жарияладық.
Шолғыш кеңейтімдері қандай артықшылықтар ұсынады?
Біз қосымша ыңғайлылық пен қауіпсіздікті қамтамасыз ету құралы ретінде шолғыш кеңейтімдерін ұсынамыз. Қарапайым тілмен айтқанда ... Кеңейтімдер уақытша хабарламалар жіберуді жылдам әрі жеңілдетеді. Хабарламаны шифрлауға және дайындауға пайдаланылатын барлық кодтар кеңейту шеңберінде жергілікті жерде сақталатындықтан, біраз қауіпсіздікке қол жеткізіледі. Код жергілікті жерде сақталғандықтан, бұл жіберушіге MITM шабуылдарынан біраз қорғаныс ұсынады. Алайда, кеңейтімдер хабарлама мазмұнына зиян келтіретін MITM шабуылынан көбірек қорғаныс ұсынғанымен, MITM шабуылы әлі де тиімді болуы мүмкін екенін атап өткен жөн (яғни TOR / VPN / т.б. қолданбаса, жіберушінің IP-мекен-жайын анықтау үшін).
Жіберілген нәрсенің соңына дейін шифрланғанын қалай анық білуге болады?
Көптеген басқа танымал шифрланған (E2EE) чат клиенттерінен айырмашылығы, оның хабарламасын жіберген кезде бізге не жіберілетінін білу өте қарапайым. Төмендегі бейне оқулықта серверге жіберілген хабарламалардың шифрын ашудың мүмкіндігі жоқ екенімізді қалай растауға болатындығы көрсетілген.
Сонымен қатар, егер сіз бұл туралы ойласаңыз, біз құпия хабарларды жинауға тырысатын құпия агенттік болмасақ, бізге хабарламалардың шифрын ашудың ешқандай пайдасы жоқ, өйткені мұндай қабілет тек бізге қиындықтар тудырады. Біз тіпті хабарламаларды сақтағымыз келмейді - бұл оларды жеткізу үшін өте маңызды зұлымдық.Осы сайтта ұштық-шифрлау қалай жұмыс істейді?
Қазіргі уақытта біз парольдерден алынған кілттермен (AES-GCM 256bit) симметриялық шифрлауды қолданып жатырмыз (PBKDF2 / SHA-256 минимумының қайталануы 150 мин.). Асимметриялық шифрлау қолданылмайды, өйткені 1) байланыс жіберетін жіберушіге 2) жіберуші мен алушының бір уақытта желіде болмауына және 3) алушы туралы ақпараттың болмауына және 4) біз қарапайым әрі қарапайым болуға тырысамыз; күрделі. Стандартты Web Crypto API барлық криптографиялық функциялар үшін қолданылады, соның ішінде RNG. Негізінде, міне не болады:
- Соңғы пайдаланушы құпия сөзді таңдайды немесе автоматты түрде жасалады
- Қажетті PBKDF2 / SHA-256 қайталануларының санын алу үшін API шақыруы жасалады ( бұл қадам спам-бақылау үшін қажет )
- 32 байтты тұз пайда болады
- Кілт тұз бен парольден алынған
- 12 байтты инициализация векторы (IV) құрылады
- Хабар IV + пернесі арқылы шифрланған
- Итерация саны, тұз, IV және шифрлық мәтіндер серверге жіберіледі (TTL, RTL және т.б. сияқты басқа ақпаратпен бірге)
- Сервер хабарламаға сілтеме жасаған кездейсоқ идентификаторды қайтарады
- Содан кейін браузер соңғы пайдаланушыға қайтарылған идентификаторы мен паролі немесе сілтемесі жоқ сілтемесі бар сілтемені ұсынады (бұл жағдайда алушы парольді біліп, енгізуі керек)
- Егер пароль сілтеменің бөлігі болса, ол URL хэшінде болады , сондықтан алушы GET сұрауын жіберген кезде ешқашан серверге жіберілмейді
- Хабарламаның шифрын ашып, көргісі келсе, алушы сұралады
- Браузер хабарлама идентификаторын көрсете отырып сұраныс жасайды
- Егер жіберуші CAPTCHA-ны толтыруды талап етсе, алушы өзінің адам екенін дәлелдеу үшін басқа URL мекен-жайына жіберіледі (өткеннен кейін олар кері бағытталады)
- Сервер шифрланған хабарламаны жібереді және әдепкі бойынша хабарламаны осы сәтте жойып жібереді, егер «оқуға тұру» (RTL) бір болса
- Алушы хабарламаның құпия сөзін ашады (егер URL мекен-жайында болмаса, құпия сөз сұралады)
Шифрды ашу құпия сөзі URL мекен-жайында болуы мүмкін бе?
Иә. Бұл, әрине, қауіпсіздікке әсер етеді, өйткені сілтемені жіберу әдісі қауіпті болса, хабарлама қауымдастық тарапынан қауіпті. Бұл мәселені жоюға арналған барлық шешімдер пайдаланушының тәжірибесіне әсер ететін қосымша қадамдар мен қиындықтарды ұсынады (яғни хабарлама жіберілместен бұрын екі жағына да орнату керек). Ассиметриялық схема, ол арқылы алушы хабарлама сұрауын бастайды және осы сілтеме сілтемесін біздің «бәрі уақытша» басты талабымен жұмыс істей алады - бұл орындалуы мүмкін. Сайып келгенде, егер екі тарап бір-біріне жиі хабарлама жіберетін болса, онда екі тарап та сол шешімдерді қолдана алса, жақсы шешімдер бар.
Бірақ шифрды ашу паролі URL мекенжайында болуы міндетті емес пе?
Дұрыс. Егер шифрды ашу паролі сілтемеде болмаса, онда алушыдан құпия сөз сұралады. Егер құпия сөз алушыға қауіпсіз түрде жеткізілсе (немесе олар оны бұрыннан білсе), бұл кедергіден қорғауды қамтамасыз етеді. Алайда, кемшілігі - алушының парольді білуі және дұрыс енгізуі. Алушыға парольді жіберудің бір әдісі, ол ұстаудан қорғанысты ұсынады:
- Әдепкі параметрлері бар хабарламада құпия сөзді шифрлаңыз және осы сілтемені алушыға жіберіңіз.
- Алушы сілтемені басқанда және хабарламаның шифрын шешкенде, олар ешкімнен бұрын құпия сөзді алмағанын біледі, себебі құпия сөзі бар хабарлама алынған кезде жойылады. Алайда, егер белсенді MITM шабуылы болса немесе сіздің құрылғыңыз немесе алушының құрылғысы бұзылған болса, онда басқа тарап парольді ала алады.
- Алушымен құпия сөзді сәтті алғанын растаңыз. Мысалы, егер алушы сізге құпия сөзді алуға барған кезде, хабардың жойылғанын хабарлайды, онда сіз алушының алдында құпия сөзді басқа біреу алғанын білесіз, сондықтан құпия сөз бұзылған және оны қолдануға болмайды.
- Алушы растаған құпия сөзді қолдана отырып, сіз енді шифрлау үшін сол құпия сөзді қолдана отырып хабар жібере аласыз - пароль жоқ сілтеменің нұсқасымен бөлісіңіз.
Бұл қызмет сілтемені алушыға жеткізбейді ме?
Дұрыс - біз сілтемені құрамыз және оны алушыға қалай жеткізу керектігін жіберушіге қалдырамыз. Бұл қызметтің мақсаты - электрондық пошта / чат / мәтін / т.с.с. бар хабарлама тасымалдауларында аз уақытты ұсынатын опцияны ұсыну. Сондықтан уақытша хабарламаны көрсететін сілтеме қолданыстағы хабарлама тасымалы арқылы жіберіледі деген үміт бар. Мұның пайдаланушылар түсінуі керек қауіпсіздік салдары бар. Мысал ретінде SMS мәтіндік хабарламасын алайық, өйткені бұл өте қауіпті байланыс әдісі. Сіз бұл қызметті мәтіндік хабарлама арқылы уақытша хабарлама сілтемесін жіберу үшін пайдаланған кезде, егер сіз пароль сілтемеге кіретін әдепкі режимді қолдансаңыз, сілтемесі бар кез келген адам хабарламаны оқи алады және ұстап алудан қорғаныс ұсынылмайды. Бұл қызмет құпиялылық пен қауіпсіздікті жақсарта алатын уақытша байланысты ұсынады. Сонымен қатар, сіз сілтемені парольсіз жіберуді таңдай аласыз және бұл кедергіден сақтайды.
Осы қызметті пайдалану кезінде жеке өмірімді қалайша қорғауға болады?
Осы Сұрақ-жауаптың басқа жерлерінде талқыланғанындай, біз сіздің жеке өміріңізді қорғау үшін көп жұмыс істесек те, жеке ақпарат жинамасақ та, журналға қатысты кейбір ақпараттарды біз, ал басқалары сіздің веб-браузердің көмегімен жібереді және жинайды. Алайда, сіздің жеке өміріңізді қорғаудың бірнеше әдісі бар. Ашық бастапқы бағдарламалық жасақтамаға негізделген және өте жақсы жұмыс істейтін бір әдіс - Tor шолғышын пайдалану. Бұл браузер құпиялылықты бірнеше деңгейде қорғауға, соның ішінде Tor желісін пайдалануға арналған. Біздің торапқа Tor пияз желісі арқылы қол жетімді, демек Tor арқылы біздің сайтқа кіру шығу түйінін пайдалануды талап етпейді, бұл шығу түйінінің трафигін тыңдаған адамды жоққа шығарады. Есіңізде болсын, осы сценарийдің өзінде сіздің Интернет-провайдер Tor-ды қолданғаныңызды көре алады, бірақ ол үшін не қажет. Сіз тіпті VPN-ге қосыла аласыз, содан кейін Tor браузерін екі жасырын жасыру үшін іске қосасыз; дегенмен, сіздің Интернет-провайдер осы сценарийде VPN-ді қолданып жатқаныңызды әлі де көре алатындығын есте сақтаңыз, бірақ бұл не үшін қажет. Егер сіз өзіңіздің Интернет-провайдеріңіздің қандай хаттамаларды қолданып жатқаныңызды білгісі келмесе, сіз кітапхана, мектеп және т.б. сияқты жалпыға ортақ WiFi желісіне қосылып, содан кейін Tor браузерін қолдана аласыз.
Егер мен Америка Құрама Штаттарына сенбесем ше?
Біздің серверлер Америка Құрама Штаттарында орналасқан. Сонымен қатар, біздің CDN провайдеріміз, Cloudflare, Америка Құрама Штаттарында орналасқан компания. Біз жеке ақпаратты жинамайтындығымыздан, ешқандай хабарламалардың шифрын шеше алмайтындығымыздан және олар алынғаннан кейін көп ұзамай жойылатындығымыз үшін бізге немесе біздің серверлер тұратын елге сену қажеттілігін жоюға тырыстық. Алайда, біз кейбір сенімсіздіктерді түсінуіміз мүмкін, өйткені бұл вебке негізделген, әсіресе егер сіз белгілі бір елдерде тұрсаңыз. Біз Исландия мен Швейцарияда АҚШ-қа сенім артуы қиын адамдарға арналған нұсқаларды ұсынбақпыз. Егер бұл сізге қатысты болса, бізге хабарлаңыз , өйткені нақты сұраныс болмаса, біз балама ұсынуға ынталанбаймыз.
Сіз спамның алдын алу үшін не істеп жатырсыз?
Кез-келген уақытта сіз біреудің сілтеме арқылы жіберуге болатын хабарлама жіберуіне мүмкіндік берсеңіз, сіз спамерлерді шақырасыз. Бұл мәселені ауыздықтау толығымен қарапайым емес. Біз бірнеше себептермен хабарлама жіберу процесінің бөлігі ретінде үшінші тарап CAPTCHA-ны жүктегіміз келмейді:
- Біз CAPTCHA-ны жек көреміз - олар уақытты қажет етеді және тітіркендіреді
- Үшінші тараптың JavaScript жүктелуі құпиялылық пен қауіпсіздікке инвазивті болуы мүмкін
- Өзіміздің CAPTCHA-ны іске қосу дегеніміз - біз ешқашан бітпейтін whack-a-molle ойынына тіркелеміз
- Сайып келгенде, адамдар бұл қызметпен API арқылы байланыс орнатқысы келуі мүмкін
- Қажетті PBKDF2 / SHA-256 қайталануларының санын көбейту
Барлық хабарламаларды тек бірнеше рет алуға болады - спамерлер үшін тартымсыз атрибут, өйткені олар көптеген хабарламалар жібереді. Спамгер кез-келген спам-науқанға көптеген хабарламалар құруы керек болатындықтан, біз бұл тапсырманы санаулы түрде қымбатқа түсіруді жөн көрдік, сондықтан бұл қызметті спам үшін теріс пайдалану мүмкін емес. Бұл мүмкін болатын іздеудің жалпы өлшемімен өлшенетін хабарламаларды орналастыратын желілерді бақылау арқылы жүзеге асырылады. Желілік ақпараттың өзі қауіпсіз түрде хэштен нақты желі шығара алмайтындай етіп жинақталған. Берілген желі қосымша хабарламалар жіберетіндіктен, біз келесі хабарламаны орналастыру үшін қажетті PBKDF2 / SHA-256 қайталануларының санын көбейтеміз. Бұл тез арада бір хабарлама жіберу үшін процессордың көп уақытын қажет етеді. Бұл әдіс спамды теріс пайдалануды ауыздықтауға жеткілікті және сонымен бірге нақты қолданушыларға әсер етпейді деп үміттенемін. - Хабарлама алған кезде қолданушылардан спам-есептер жинаңыз
Пайдаланушы хабарламаны алған кезде хабарламаның дәл астында «Спам туралы хабарлау» батырмасы бар. Егер хабарлама спам болса, кейбіреулер осы батырманы басу үшін 3 секунд кетеді деп үміттенемін. Біз спам туралы хабарлама алған кезде, ол бізге ескерту жасайды, сонымен қатар белгілі бір желі үшін қажетті PBKDF2 / SHA-256 қайталануларына әсер етеді.
Неліктен алушыдан CAPTCHA толтыруды талап ететін нұсқа бар?
Біздің CAPTCHA-ны ұнатпайтынымыз рас, бірақ біз олардың мақсатқа сай келетінін және уақыты мен орны бар екенін мойындаймыз (ең болмағанда қазірге дейін). Бұл жөнелтушінің алушының адам екендігіне және автоматтандырылған процестер хабарламаға қол жеткізе алмайтындығына сенімді болудың қарапайым әдісі.
Бұл қызметті кім басқарады және ол неге ақысыз?
Біз өзіміздің жеке өмірімізді қорғауға көмектесетін жақсы нұсқалардың жоқтығымен кейде кездесетін ерлі-зайыптылармыз. Көбінесе бұл достарымен және отбасы мүшелерімен сөйлесу нәтижесінде пайда болды, олар өздерінің құрылғылары мен ақпараттарымен қалай жұмыс істейтініне мұқият қарамайды. Басқа уақытта бұл Reddit сияқты веб-форумдарды пайдалану кезінде немесе веб-қолдау жүйелерін пайдалану кезінде пайда болды. Біз уақытша хабарлама веб-шешімдерін таптық, бірақ бірде-біреуі E2EE ұсынбады, бұл оларға сенуге болмайтынымызды білдірді. Сондықтан біз тек өз шешімімізді жасадық және басқалар одан пайда көруі үшін оны беру туралы шешім қабылдадық.
Жоғарыдағы сұрақтардың жауаптарына қалай сенуге болады?
Шынында да, сіз кез-келген веб-сайтқа белгілі бір нәрсені айтқаны үшін ғана сенбеуіңіз керек - бұл кез-келген шағымды тексерудің жақсы идеясы. Біз түпкілікті шифрлауды қолдану арқылы бізге сенім арту мүмкіндігін алып тастауға тырыстық. Мысалы, тексеру оңай, сондықтан біз ешқандай хабарламаны шифрланғандықтан оқи алмаймыз . Біз сонымен қатар JavaScript кодын өте қарапайым етіп оқыдық және түсінетін етіп сақтадық. Барлық кодтарды ашық қайнар көзге айналдыру адамдарға не істеп жатқанын тексеруге мүмкіндік береді; дегенмен, сервердің не істеп тұрғанын шынымен тексеруге мүмкіндік жоқ екенін ұмытпаңыз. Шынында шифрлау арқылы сенімділіктің көп бөлігі жойылатыны рас, бұл біздің пайдаланушылар осы қызметті пайдалану туралы шешім қабылдағанда салмақ түсіретін фактор болып қала береді.