Dažnai užduodami klausimai
- Kodėl ši svetainė blogai išversta? ⎃
- Kiek saugi ši paslauga?
- Kodėl čia gavau nuorodą su galimybe iššifruoti pranešimą?
- Ar ištrinate viską, kas pateikta šioje svetainėje?
- Kodėl verta naudotis šia paslauga?
- Ar tai pranešimų paslauga?
- Kokie yra numatyto naudojimo atvejai?
- Kam ši paslauga neturėtų būti naudojama?
- Kodėl gi ne tik naudojant PGP/Signal/OMEMO/Matrix/etc.
- Kokie reikalavimai egzistuoja?
- Ar gavėjas gali padaryti pranešimo kopiją?
- Ar renkama kokia nors asmeninė informacija?
- Kokia informacija registruojama?
- Ką darote, kad apsaugotumėte serverius?
- Kokie pavojai saugumui kyla naudojant šią svetainę?
- Ką jūs darote dėl žmogaus viduryje (MITM) atakų?
- Kokius pranašumus siūlo naršyklės plėtiniai?
- Kaip galiu tiksliai žinoti, kad viskas, kas pateikta, yra užšifruota?
- Kaip šioje svetainėje veikia visapusiškas šifravimas?
- Iššifravimo raktas gali būti URL?
- Bet iššifravimo raktas neturi būti URL?
- Ši paslauga nepateikia nuorodos gavėjui?
- Kaip galiu kiek įmanoma apsaugoti savo privatumą naudodamasis šia paslauga?
- Ką daryti, jei nepasitikiu JAV?
- Ką darote, kad išvengtumėte šlamšto?
- Kodėl yra galimybė reikalauti, kad gavėjas užpildytų CAPTCHA?
- Kas teikia šią paslaugą ir kodėl ji nemokama?
- Kaip galiu pasitikėti atsakymais į aukščiau pateiktus klausimus?
Kodėl ši svetainė blogai išversta? ⎃
Atsiprašome, tačiau dabartiniai autoriai kalba tik angliškai. Mums reikia pagalbos išverčiant šį projektą į kitas kalbas. Mes naudojame mašininį vertimą kaip paprastą ir nebrangią priemonę, kad ši paslauga būtų prieinama žmonėms, nemokantiems anglų kalbos. Rezultatai paprastai yra priimtini, tačiau gali sukelti keistą formuluotę ar net visiškai netikslią informaciją. Galite padėti mums patobulinti patirtį visiems - pateikite teisingą vertimą .
Kiek saugi ši paslauga?
Mes ėmėmės daug veiksmų, kad ši paslauga būtų saugi pagal paskirtį . Prieš pradėdami šiuos veiksmus, svarbu suprasti šiuos dalykus:
- Nors negalime perskaityti jūsų pranešimo dėl šifravimo nuo galo iki galo , numatytoje nuorodoje yra iššifravimo raktas ; todėl visi, turintys nuorodą, gali perskaityti jūsų pranešimą, įskaitant visus, kurie gali ją perimti.
- Ši paslauga yra tik priemonė, leidžianti siųsti mažiau pastovius pranešimus (ty užšifruotus pranešimus, kurie ištrinami juos atgaunant) tradiciniais, pastovesniais transportavimo būdais (ty el. Tai reiškia, kad naudojant šį įrankį paveldimos visos saugumo/privatumo problemos, būdingos pasirinktam transportui (pvz., El. Paštui) .
- Yra ir kitų sprendimų, kurie užtikrina didesnį saugumą, atsižvelgiant į jūsų poreikius ir aplinką. Pagrindinis šios paslaugos pranašumas, palyginti su kitomis, yra daug mažesni reikalavimai gavėjui (ty jiems tereikia interneto naršyklės ir galimybės spustelėti nuorodą).
- Nors numatytasis nustatymas yra ištrinti pranešimus juos paėmus, niekas netrukdo gavėjui kopijuoti . Atminkite, kad tai taikoma visiems laikinų pranešimų sprendimams - jei gavėjas gali matyti pranešimą, jį galima nukopijuoti.
- Visi interneto ryšiai gali pakenkti jūsų privatumui - jūs prekiaujate tam tikru saugumu.
- Žiniatinklis yra sudėtinga aplinka, kai kalbama apie saugumą dėl kai kurių esminių problemų - tai taikoma visoms svetainėms. Tačiau kadangi žiniatinklyje yra daug lengviau patikrinti mūsų teiginį, kad negalime perskaityti jūsų žinutės .
- Ši svetainė ir jos duomenų bazė yra priglobta JAV. Turinio pristatymo tinklu naudojame „Cloudflare“, JAV įsikūrusią bendrovę (visas žiniatinklio srautas eina per šį tinklą).
- Norint naudotis paslauga nereikia jokios asmeninės informacijos (ty vardo/el. Pašto/telefono/ir tt). Nėra paskyros sistemos (ty prisijungimo vardas/slaptažodis/ir tt); todėl bet koks duomenų pažeidimas negali nutekinti šios informacijos.
- Visas pranešimų turinys yra užšifruotas . Kitaip tariant, iššifravimo raktas mums niekada nesiunčiamas. Todėl mes ar kas nors kitas, turintis duomenų bazę, neturime galimybių iššifruoti ir peržiūrėti pranešimų turinio.
- Kiekvienas įrašas mūsų duomenų bazėje turi trukti nuo 1 minutės iki 2 savaičių (numatytoji-1 savaitė). Praėjus šiam laikui, įrašas automatiškai ištrinamas. Todėl bet kokia informacija mūsų duomenų bazėje bus ištrinta netrukus po jos sukūrimo .
- Tvarkome tik paskutines 24 valandas žiniatinklio serverių žurnalų . Visa duomenų bazėje saugoma IP informacija yra saugiai maišoma, todėl neįmanoma išgauti pradinio IP.
- Visas šią paslaugą maitinantis kodas yra atvirojo kodo ir jį galima peržiūrėti. Galite lengvai pamatyti kodą, kuriame vykdomas šifravimas - tyčia trumpas, glaustas ir pakomentuotas.
- Siekiant sustiprinti saugumą, imamasi kelių techninių atsargumo priemonių, iš kurių kai kurios apima:
- Visa ši svetainė, išskyrus/api, yra statiška ir nepalaiko serverio kodo puslapiuose (pvz., PHP/JSP/ASP/ir kt.)
- „ Web Crypto“ API , kuri yra naršyklės dalis, naudojama šifruoti visą pranešimų turinį.
- TLS naudojamas užšifruoti ryšius tarp jūsų naršyklės ir mūsų serverių. Tai padeda užtikrinti, kad kodas nebūtų perimtas ar pakeistas gabenant. TLS 1.3 palaikomas, tačiau taip pat palaikome senesnių įrenginių TLS 1.2. Senesnės TLS versijos yra išjungtos, nes jos nėra tokios saugios.
- Sertifikatų skaidrumo žurnalai stebimi dėl klaidų. Be to, skelbiame Sertifikavimo institucijos autorizacijos (CAA) politiką, kad sumažintume netyčinio ar kenkėjiško sertifikato klaidos riziką.
- Mes naudojame HTTP griežtą transportavimo saugumą (HSTS), kad užtikrintume, jog naršyklės visada bendrauja su mūsų serveriais naudodami TLS protokolą. Be to, mes įtraukiame savo domenus į išankstinio įkėlimo sąrašus .
- Siekiant išvengti kelių svetainių scenarijų (XSS) atakų, vykdoma griežta turinio saugumo politika .
- Naudodami kryžminės kilmės išteklių politiką , kryžminės kilmės įterpimo politiką ir kryžminę kilmės atidarymo politiką , mes draudžiame kryžminio kilmės kodą, kad galėtume sušvelninti spekuliacines šalutinių kanalų atakas, tokias kaip „Spectre“ ir „Meltdown“. Tai taip pat suteikia apsaugą nuo galimai kenkėjiškų užklausų iš kitos kilmės, išskiriant naršymo kontekstą tik į tos pačios kilmės dokumentus.
- Mes naudojame leidimų politiką, kad neleistume naršyklei įkelti išteklių, kurie galėtų pakenkti jūsų privatumui, pvz., Jūsų buvimo vietai, internetinei kamerai, mikrofonui ir kt.
- DNSSEC naudojamas visuose mūsų domenuose, siekiant sušvelninti DNS pagrįstas MITM atakas.
- Imamės kelių atsargumo priemonių serveriui apsaugoti.
- Nėra įkeliamas trečiosios šalies kodas (ty „jQuery“) ir įkeliama labai nedaug išteklių (eikite į priekį ir atidarykite skirtuką Tinklas „Dev Tools“, kad patikrintumėte) - tai sumažina audito pastangas. Vienintelė išimtis yra tai, kad reikia CAPTCHA, kuri įkelia trečiosios šalies kodą iš „ hCaptcha“ . Tačiau „hCaptcha“ kodas įkeliamas į savo URL pagal savo CSP taisykles ir niekada neturi prieigos prie nieko, kas susiję su pranešimu.
- Siekiant apsaugoti MITM atakas , galima naudoti naršyklės plėtinius .
Kodėl čia gavau nuorodą su galimybe iššifruoti pranešimą?
Atsiprašome, jei šiame vertime yra klaidų. Ši paslauga tiesiog perduoda užšifruotą pranešimą iš vieno taško į kitą ir jūs esate gavėjas. Pranešimas netrukus bus ištrintas. Šios paslaugos operatoriai niekaip negali perskaityti pranešimo turinio. Paprastai kažkas naudojasi šia paslauga, kai nenori, kad pranešimo turinys liktų įvairiose duomenų bazėse/įrenginiuose/paslaugose/failais/ir tt. kaip būdinga siunčiant el. laišką/momentinį pranešimą/tekstą/ir pan. Jei nuspręsite iššifruoti, atminkite šiuos dalykus:
- Tikėtina, kad pranešimas bus ištrintas iškart po to, kai jis bus išsiųstas į jūsų įrenginį iššifruoti. Tai reiškia, kad spustelėjus mygtuką, kad iššifruotumėte pranešimą, nebeturime kopijos, kurią vėliau jums atsiųsime.
- Mes sistemingai ištriname visą gautą informaciją. Pranešimai bus ištrinti nuo vienos minutės iki dviejų savaičių nuo jų sukūrimo, nepriklausomai nuo to, ar pranešimas kada nors buvo iššifruotas. Kitaip tariant, jei jums reikia perskaityti pranešimą, nelaukite per ilgai, kad jį iššifruotumėte.
- Siuntėjas greičiausiai mano, kad su pranešimo turiniu reikia elgtis atsargiai. Jie netgi galėjo nurodyti, kad nenori daryti kopijų. Prašome gerbti jų norus.
- Jei būsite paraginti įvesti slaptažodį, kad iššifruotumėte pranešimą, neuždarykite naršyklės lango/skirtuko. Remiantis pirmuoju šio sąrašo ženklu, greičiausiai vėliau negalėsime išsiųsti kitos kopijos. Tiesiog palikite atidarytą naršyklės langą/skirtuką, kol galėsite įvesti slaptažodį. Jei įvesite neteisingą slaptažodį, būsite paraginti dar kartą. Slaptažodis turi būti įvestas tiksliai. Atminkite, kad norėdami patenkinti skirtingas kalbas ir slaptažodžių reikalavimus, slaptažodžiuose priimame daug skirtingų simbolių.
Ar ištrinate viską, kas pateikta šioje svetainėje?
Tikrai mūsų šiukšliadėžės logotipas ... viskas netrukus ištrinama. Viskas ištrinama automatiškai - ji įrašoma į serverį. Pagalvokite taip - pateikiama dviejų tipų informacija:
- Šifruoti pranešimai, kurių turinio neturime galimybių iššifruoti
- Kita informacija, būdinga teikiant bet ką žiniatinklyje (ty jūsų IP adresas ir pan.)
- Kiek laiko turėtume saugoti pranešimą, jei niekas jo neatsiima (nuo 1 minutės iki 2 savaičių - numatytoji iki 1 savaitės).
- Kiek kartų pranešimas buvo nuskaitytas (nuo 1 iki 100 kartų - numatytasis iki 1 karto)
Kodėl verta naudotis šia paslauga?
Ši paslauga yra priemonė, padedanti padaryti siunčiamus/gaunamus pranešimus mažiau pastovius. Didžioji dalis to, ką bendraujate internete (pokalbiai, tekstai, el. Laiškai ir kt.), Yra saugoma ir retai ištrinama. Dažnai, kai ką nors ištrinate, jis iš tikrųjų nėra ištrinamas, o pažymimas kaip ištrintas ir jums nebeparodomas. Jūsų bendra informacija kasmet kaupiama duomenų bazėse ir įrenginiuose, kurių negalite valdyti. Neišvengiamai įsilaužta į vieną ar kelias organizacijas/žmones/įrenginius, kuriuose saugomas jūsų ryšys, ir nutekinama jūsų informacija. Ši problema yra tokia paplitusi, kad dabar yra daug svetainių, kurios stebi organizacijas, kurios buvo pažeistos ir nutekino vartotojų duomenis. Nuolatiniai šifruoti laikini pranešimai yra paprastas sprendimas, padedantis padaryti kai kuriuos jūsų ryšius mažiau nuolatinius. Kiekvienos į šią svetainę pateiktos žinutės galiojimo laikas yra nuo 1 minutės iki 2 savaičių. Praėjus šiam laikui, pranešimas ištrinamas. Be to, numatytasis nustatymas yra ištrinti bet kokį pranešimą, kai gavėjas jį atsiima. Be to, visi pranešimai yra šifruojami iš jūsų prietaiso iki gavėjo įrenginio. Pagrindinis viso šifravimo tikslas yra panaikinti galimybę skaityti bet kokius pateiktus pranešimus ir taip panaikinti kai kuriuos pasitikėjimo reikalavimus. Galutinis rezultatas yra tas, kad dabar lengva siųsti užšifruotą pranešimą per paprastą nuorodą. Šis pranešimas ištrinamas netrukus po išsiuntimo arba jį atsiuntus. Jums nereikia įdiegti/konfigūruoti specialios programinės įrangos. Jums nereikia susikurti paskyros ar pateikti jokios asmeninės informacijos. Gavėjas neprivalo būti jūsų kontaktuose ar net žinoti apie šią paslaugą - vienintelis reikalavimas, kad jis galėtų spustelėti nuorodą.
Ar tai pranešimų paslauga?
Ne. Ši paslauga skirta papildyti esamas pranešimų siuntimo paslaugas, pvz., Momentinių pranešimų/el. Pašto/teksto/ir kt. pridedant galimybę užkirsti kelią išsiųstų pranešimų ilgam saugojimui. Gautos nuorodos gavėjui nepristatome .
Kokie yra numatyto naudojimo atvejai?
Taigi, kokie yra kai kurie scenarijai, kai tikslinga naudotis šia paslauga? Nors kiekvienas turi skirtingus poreikius ir reikalavimus, susijusius su jų privatumu ir saugumu, aš asmeniškai radau tinkamus naudojimo atvejus:
- Vietiniame žiniatinklio forume bendravote apie apylinkių kalnų dviračių takus ir kartais susitikote su forumo žmonėmis, kad kartu apžiūrėtumėte naujus takus. Kažkas iš forumo šį savaitgalį nori jus pasiimti pas jus, kad susiskirtų į taką. Jūs nenorite, kad jūsų namų adresas amžinai sėdėtų šios svetainės forumo duomenų bazėje. Tiesiog nusiųskite adresą per šią paslaugą - nuoroda yra ta, kuri yra svetainės forumo duomenų bazėje, tačiau kai ją perskaito gavėjas, pranešimas/adresas ištrinamas.
- Turite atsiųsti savo broliui „Netflix“ prisijungimo duomenis, nes jūsų dukterėčia jį varo iš proto dėl COVID užrakinimo ir jis vis dar neturi savo paskyros. Jums per daug nerūpi šis prisijungimas, tačiau jūsų broliui ypač blogai sekasi tai, ką aš tiesiog vadinsiu „skaitmenine higiena“, ir jis turėjo daug bandymų su pažeistais prisijungimo duomenimis ir kenkėjiškomis programomis. Vėlesni bandymai priversti jį susitvarkyti ir net įdiegti jam saugius pranešimus nepavyko. Tiesiog išsiųsti jį teksto pranešimu tikriausiai yra geriausias pasirinkimas (deja), tačiau dėl ankstesnės patirties jums nepatogu, kad šis prisijungimas yra jo pranešimų istorijoje. Naudojant šią paslaugą siųsti prisijungimo duomenis per nuorodą teksto žinutėje, neleidžiama prisijungti prie pokalbio istorijos amžinai.
- Kartais dirbate biure, kuriame yra daug bendrų nuomininkų, kurie ateina ir išeina bet kuriuo metu. Galima naudotis „WiFi“, tačiau slaptažodis keičiamas kiekvieną savaitę, nes kilo problemų dėl piktnaudžiavimo. Daugelis nuomininkų el. Paštu/tekstu prašo „WiFi“ slaptažodžio, net jei jis yra registratūroje, nes dauguma neįeina per priekinį pagrindinį įėjimą. Naudodamasis šia paslauga, biuro vadovas gali išsiųsti „WiFi“ slaptažodį per nuorodą el. Laiške/teksto atsakyme, neleisdamas slaptažodžiui pasilikti, taip pat leidžia gavėjui nedelsiant nukopijuoti slaptažodį naudojant kopijavimo mygtuką, kuris yra mažiau gremėzdiškas mobiliuosiuose įrenginiuose.
- Vienas iš jūsų prieglobos paslaugų teikėjų prašo jūsų išsamios informacijos apie serverį, apie kurį pranešėte, kad rodomi blogo standžiojo disko požymiai. Kai kuri jiems reikalinga informacija yra šiek tiek jautri - nenorite, kad ji amžinai sėdėtų jų naudojamoje trečiųjų šalių bilietų sistemoje. Naudodamiesi šia paslauga, galite nusiųsti informaciją palaikymo technikams, nesinaudodami bilietų sistema. Kadangi keliems technikams gali tekti kelis kartus remtis informacija, nustatykite tiesioginius skaitymus daugiau nei 1 (ty galbūt 20), kad pranešimas nebūtų ištrintas pirmą kartą gavus.
- Turite asmeniškai pranešti kitam „Reddit“ vartotojui, kad jis žinotų jūsų telefono numerį, kad galėtų jums paskambinti. „Reddit“, kaip ir daugelis kitų paslaugų teikėjų, praeityje nutekino informaciją apie vartotojus ir nenorite, kad jūsų telefono numeris daugelį metų tiesiog sėdėtų „Reddit“ duomenų bazėje iki kito nutekėjimo. Tiesiog atsiųskite savo telefono numerį naudodami šią paslaugą.
Kam ši paslauga neturėtų būti naudojama?
Ši paslauga neturėtų būti naudojama labai jautriai informacijai dėl visų šiame DUK paaiškintų priežasčių. Žemiau pateikiami keli pavyzdžiai, ko negalima daryti:
- Nenaudokite šios paslaugos, kad netinkamas pranešimų perdavimas būtų „saugesnis“. Kadangi numatytasis nustatymas yra įtraukti iššifravimo raktą į URL, kuris gali skaityti pranešimą, visi, turintys nuorodą, gali jį perskaityti. Kaip minėta aukščiau, naudojant šį įrankį paveldimos visos saugumo/privatumo problemos, būdingos pasirinktam transportui (ty tekstui). Taigi, pavyzdžiui, jei niekada nesvarstytumėte galimybės naudoti el. Pašto, kad išsiųstumėte konkrečią informaciją, nes ji yra jautri, tuomet neturėtumėte naudoti šios paslaugos, kad „apsaugotumėte“ tą el. Laiško dalį.
- Nesinaudokite šia paslauga, kad įsitikintumėte, jog žinutė nėra nukopijuota. Tai, kad mes ištriname savo užšifruoto pranešimo kopiją iškart po to, kai jį gauname, ir apsunkiname jo kopijavimą, nereiškia, kad pranešimo negalima nukopijuoti. Ką daryti, jei gavėjas fotografuoja savo ekraną? O kas, jei jie tiesiog parašys pranešimą? Galų gale, jei gavėjas gali perskaityti pranešimą - galima padaryti kopiją.
- Nenaudokite šios paslaugos, kad užtikrintumėte, jog pranešimas negali būti atsektas jums. Ši paslauga priklauso nuo kito pranešimų perdavimo paslaugų teikėjo (ty el. Pašto, pokalbių ir pan.), Kad gautų pranešimą iš vieno taško į kitą. Naudojamas pranešimų transportavimas gali labai gerai atsekti pranešimą jums.
- Nenaudokite šios paslaugos norėdami siųsti viską, ko norite atsisakyti. Vien todėl, kad pats pranešimas yra ištrintas, dar nereiškia, kad nuoroda, nukreipianti į ištrintą pranešimą, yra ištrinta. Jei nusiųsite el. Laišką savo draugui ir to laiško dalyje yra nuoroda į šios paslaugos pranešimą, atsitiktinis skaitytojas žinos, kad pranešime buvo kažkas kita. Net jei žinutė, kurią nurodo nuoroda, jau seniai nebėra - aišku, kad buvo atsiųsta kažkas kita ir jūs ją atsiuntėte savo draugui.
Kodėl gi ne tik naudojant PGP/Signal/OMEMO/Matrix/etc.
Jei žinote asmenį, kuriam norite siųsti saugius laikinus pranešimus, dažnai juos siųskite, tikitės į pokalbį panašios sąsajos ir (arba) galite tikėtis, kad gavėjas turės reikiamą programinę įrangą ir žinos, kaip ja naudotis, ši svetainė tikriausiai nėra ta geriausias sprendimas. Yra puikių galimybių, kurios yra atvirojo kodo, palaiko E2EE, o ne žiniatinklio, ir net kai kurios, pavyzdžiui, „ Signal“ , taip pat palaiko laikinus pranešimus. Aš asmeniškai naudoju privatų XMMP serverį ir OMEMO, kad galėčiau kalbėtis su artimais draugais ir šeima. Naudojimasis šia svetaine gali būti optimalus tik tuo atveju, jei nežinote, kokią programinę įrangą gavėjas naudoja, nežinote savo telefono numerio/kontaktinės rankenos, nežinote jų techninių įgūdžių (bet manote, kad jie gali spustelėti nuorodą), arba tiesiog norite, kad jūsų siunčiamas pranešimas nepatektų į pagrindinį ryšio transportą.
Kokie reikalavimai egzistuoja?
Reikalinga moderni ir naujausia interneto naršyklė, tinkamai įgyvendinanti standartus, įskaitant „Web Crypto“ API. Pavyzdžiai: „Chrome“, „Firefox“, „Edge“ ir „Safari“ (maždaug 2020 m. Arba vėliau).
Ar gavėjas gali padaryti pranešimo kopiją?
Taip. Nors gautas pranešimas gali ištrinti save, gavėjas vis tiek gali jį peržiūrėti. Bet kuriuo metu, kai imtuvas gali visiškai peržiūrėti pranešimą, galima padaryti jo kopiją - tai taikoma visiems ryšiams. Yra galimybė gavėjui apsunkinti kopijos darymą. Šiuo atveju įgyvendinamos trys kopijavimo kliūtys:
- Mygtukas Kopijuoti pašalinamas. Šis mygtukas pagal numatytuosius nustatymus leidžia gavėjui nukopijuoti visą pranešimą į savo iškarpinę.
- Atsisiuntimo mygtukas pašalinamas. Pagal numatytuosius nustatymus šis mygtukas leidžia gavėjui atsisiųsti pranešimą kaip tekstinį failą.
- Galimybė pasirinkti tekstą pranešimo teksto laukelyje pašalinama.
Ar renkama kokia nors asmeninė informacija?
Mes nepalaikome vartotojų paskyrų (ty vartotojo vardo/slaptažodžio). Mes nerenkame jokios informacijos, kuri galėtų jus identifikuoti (ty vardas/adresas/el. Paštas/telefonas). Gali būti, kad jūsų siunčiamame pranešime gali būti tam tikros asmeninės informacijos, tačiau ji yra užšifruota ir mes negalime jos perskaityti. Jei reikia išsamios informacijos, peržiūrėkite mūsų privatumo politiką.
Kokia informacija registruojama?
Mūsų žiniatinklio serveris saugo iki 24 valandų įprastą žurnalo formatą bet kokioje žiniatinklio veikloje. Tai apima viso HTTP klientų IP adreso registravimą. Po 24 valandų ši užregistruota informacija automatiškai ištrinama. Visos užklausos, išsiųstos /api, yra POST., Tai reiškia, kad žiniatinklio serveris niekada neregistruoja jokios konkrečios žinutės informacijos. Be to, visa duomenų bazėje išsaugota informacija yra veiksmingai registruojama. Visi duomenų bazės įrašai, įskaitant anoniminius ir maišytus IP adresus, turi galiojimo laiką (TTL), po kurio jie automatiškai ištrinami. TTL galiojimo laikas svyruoja nuo 1 minutės iki 2 savaičių.
Ką darote, kad apsaugotumėte serverius?
Serverio saugumas yra akivaizdus rūpestis. Yra dvi pagrindinės sritys, į kurias mes sutelkiame dėmesį, kad ji būtų saugi:
- Pirma, kuo mažiau saugome mažiausią įmanomą laiką, kad, jei kada nors būtų pažeistas serveris, bet koks informacijos nutekėjimas nepakenktų mūsų vartotojams. Visi pranešimai, saugomi duomenų bazėje, yra užšifruoti be jokių priemonių jų iššifruoti. Nieko nėra saugoma, susiejant bet kokį pranešimą su bet kuriuo iš mūsų vartotojų, nes mes nerenkame jokios asmeninės informacijos iš savo vartotojų. Visų duomenų bazės įrašų galiojimo laikas (TTL) svyruoja nuo 1 minutės iki 2 savaičių - praėjus šiam laikui, įrašas automatiškai ištrinamas. Todėl didžioji dauguma informacijos, kuri kada nors buvo duomenų bazėje, jau buvo ištrinta seniai.
- Mes imamės kelių priemonių, kad išvengtume kompromiso ir sulaikytume bet kokį kompromisą:
- Žiniatinklio serveris „ nginx“ paleidžiamas izoliuotame konteineryje kaip neprivilegijuotas vartotojas be rašymo teisės į bet ką, išskyrus žurnalus. Sudėtinis rodinys veikia savo SELinux kontekste ir toliau neleidžia keisti failų sistemos ar lengvai ištrūkti iš sudėtinio rodinio. Nėra palaikymo PHP/ASP/JSP/etc. - tik aptarnauja statinius išteklius.
- Kodas, kuriame veikia /api, parašytas „Go“, todėl turėtų būti pakankamai atsparus buferio perpildymo pažeidžiamumui (įprastas atakos vektorius). „Go“ procesas taip pat vykdomas izoliuotame konteineryje kaip neprivilegijuotas vartotojas, neturintis rašymo prieigos prie nieko, išskyrus duomenų bazę. Sudėtinis rodinys veikia savo SELinux kontekste ir toliau neleidžia keisti failų sistemos ar lengvai ištrūkti iš sudėtinio rodinio. Duomenų bazė, badgerdb , yra „Go“ proceso dalis (nėra išorinės duomenų bazės priklausomybės/proceso).
- Pagrindinis serverio pavojaus pavojus yra tas, kad užpuolikas gali modifikuoti failus taip, kad pakenktų mūsų vartotojų privatumui/saugumui. Specialus procesas stebi visus svetainės failus, ar nėra pakeitimų, ir nedelsiant įspėja mus, jei pasikeičia.
- Visa administracinė prieiga yra apsaugota ir leidžiama tik įgaliotiems tinklams.
Kokie pavojai saugumui kyla naudojant šią svetainę?
Prieš konkrečiai sprendžiant kai kurias iš šių rizikų, manau, kad pusiau trumpa analogija galėtų padėti apibendrinti bet kokios interneto ryšio riziką. Įsivaizduokite, kad bet kuri sistema yra tokia pat saugi kaip silpniausia grandinės grandis. Dabar įsivaizduokite scenarijų, kai uždaroje patalpoje yra du žmonės, neturintys galimybės nieko matyti, girdėti ar įrašyti. Vienas perduos pranešimą kitam, kurį perskaitęs jis sudegins. Jei kas nors už kambario ribų nori gauti pranešimą, kuris jau buvo perduotas, tai bus sunku. Kokia yra silpniausia nuoroda norint gauti pranešimą? Nėra tiek daug nuorodų, iš kurių galima rinktis - tai gana trumpa grandinė. Dabar įsivaizduokite, kad kai siunčiate pranešimą internete, kad grandinėje yra bent milijonas grandžių - daugelis jų silpnos, daugelis jų visiškai nepriklauso nuo jūsų - ir tai yra realybė.
Šifravimas gali labai padėti išspręsti pirmiau minėtą milijono nuorodų problemą ir nesunku susimąstyti, kad gerai suplanuotos E2EE sistemos siūlo galutinį sprendimą. Tačiau toks mąstymas gali sukelti nemalonumų, nes užpuolikas paprastai tiesiog seka silpnesnes sistemos grandis. Pvz., Tikriausiai daug lengviau perimti telefoną ar kompiuterį ir nustatyti įvesties registratorių, kad jis tiesiog perskaitytų viską, ką įvedate, nei sklaidyti užšifruotus pranešimus per laidą. Esmė ta, kad jei man būtų pavesta perduoti gyvybiškai svarbią/kritinę paslaptį, elektroninius ryšius naudočiau tik kaip paskutinę priemonę.
Taigi naudojant bet kokius ryšius kyla pavojus saugumui, tačiau jūs vis tiek naudojate žiniatinklio naršyklę bankininkystei, daiktų pirkimui, el. Tikrai kyla klausimas ... kokia saugumo rizika yra pusiau būdinga šiai svetainei? Į galvą ateina keletas:
- Turbūt didžiausia ir vienintelė šios paslaugos rizika yra ta, kad mūsų vartotojai nesinaudos protingu sprendimu, ką reikia siųsti, o kas ne . Kartais skirtumas tarp „man patogu siųsti šią informaciją el. Paštu - tiesiog norėčiau, kad el. Laiškas būtų ištrintas perskaičius“ ir „man nepatinka siųsti šią informaciją el. Paštu - el. Paštas yra netinkamas gabenimas“ gali būti gana subtilus.
- Visada gresia pavojus, kad šios svetainės operatoriai iš tikrųjų yra blogi veikėjai, kurie vilioja žmones naudotis paslauga tam, kad pasiektų tam tikrą galutinį tikslą. Mes susiduriame su įtikinamai patikimu dalyku - padarykite viską paprasta ir nemokama - pritraukite daug žmonių, kurie naudojasi šia paslauga - visą laiką su grėsmingais ketinimais. Bwhahahahaha! Kaip tu galėjai mumis pasitikėti?
- Yra tikimybė, kad mūsų kode yra klaidų, turinčių įtakos saugumui, arba mes tiesiog gerai neapgalvojome dalykų, o mūsų trūkumai dabar kelia vartotojams nereikalingą pavojų. Tikimės, kad ne, bet negalime to atmesti.
- Skirtingai nuo technologijų titanų (pvz., „Google“/„Facebook“/„Whatsapp“), kurių milžiniškuose tinkluose nuolat teka ir išeina šifruotų duomenų terabaitai, kur lengva užmegzti privačius ryšius su kitu srautu, atskiros centralizuotos paslaugos (ty signalas, Telegrama ir mes) išsiskiria. Tinklo operatoriui ar net didelei organizacijai/vyriausybei lengva pamatyti, kad IP adresas xxxx naudoja XYZ paslaugą.
- Nors tai nėra konkrečiai šiai svetainei būdinga, tačiau ji gali būti naudojama prieš bet kurią svetainę, tačiau viduryje vykstančios atakos (MITM) kelia susirūpinimą .
Ką jūs darote dėl žmogaus viduryje (MITM) atakų?
Visi interneto svetainių vartotojai gali tapti MITM atakos auka - šiuo atžvilgiu ši svetainė niekuo nesiskiria nuo visų kitų žiniatinklio svetainių. MITM ataka yra tada, kai užpuolikas gali perimti ir modifikuoti ryšius tarp vartotojo naršyklės ir svetainės žiniatinklio serverio. Tai leidžia užpuolikui pakeisti bet kurį svetainės kodą/turinį, o galutiniam vartotojui vis tiek atrodo, kad yra ta svetainė, prie kurios jie yra įpratę. Imamės tam tikrų priemonių, kad apsunkintume MITM ataką:
- HSTS naudojamas priversti naršykles prisijungti tik per TLS. Mūsų serveris sukonfigūruotas ignoruoti ne TLS ryšį, išskyrus peradresavimą. Palaikomi tik 1.2 arba naujesni TLS.
- DNSSEC naudojamas mūsų domeno zonai pasirašyti. Tai gali sustabdyti DNS klastojimą įgyvendintas MITM atakas, jei vartotojas naudoja rekursyvų DNSSEC žiniklį.
- Mes naudojame paslaugą, kad stebėtume sertifikavimo institucijas, išduodančias neteisėtus TLS sertifikatus, nurodančius mūsų domeną.
- Mes paskelbėme naršyklės plėtinius, kurie palaiko pranešimų šifravimą naudojant kodą, saugomą galutinio vartotojo įrenginyje.
Kokius pranašumus siūlo naršyklės plėtiniai?
Siūlome naršyklės plėtinius , kurie suteikia papildomo patogumo ir papildomo saugumo. Paprasčiau tariant ... Plėtiniai leidžia greičiau ir lengviau siųsti laikinus pranešimus. Tam tikras saugumas taip pat įgyjamas, nes visas kodas, naudojamas šifruoti ir paruošti pranešimą, yra saugomas plėtinyje. Kadangi kodas saugomas vietoje, tai suteikia siuntėjui tam tikrą apsaugą nuo MITM atakų . Tačiau verta pažymėti, kad nors plėtiniai labiau apsaugo nuo MITM atakos, kuri kenkia pranešimo turiniui, MITM ataka vis tiek gali būti veiksminga (ty nustatyti siuntėjo IP adresą, jei nenaudojate TOR/VPN/ir tt).
Kaip galiu tiksliai žinoti, kad viskas, kas pateikta, yra užšifruota?
Skirtingai nuo daugelio kitų populiarių šifruotų (E2EE) pokalbių klientų, gana paprasta tiksliai pamatyti, kas mums siunčiama, kai siunčiate pranešimą. Žemiau pateiktame vaizdo įrašo mokyme parodyta, kaip patvirtinti, kad mes niekaip negalime iššifruoti į serverį siunčiamų pranešimų.
Be to, jei gerai pagalvotumėte, kol nesame kokia nors slapta agentūra, bandanti rinkti neskelbtinus pranešimus, mums nėra jokios naudos, jei galime iššifruoti pranešimus, nes turėdami tokią galimybę mes tik sukuriame problemų. Mes net nenorime saugoti pranešimų - tačiau būtina juos perduoti.Kaip šioje svetainėje veikia visapusiškas šifravimas?
Šiuo metu mes naudojame simetrinį šifravimą (AES-GCM 256bit) su raktais, gautais iš slaptažodžių (mažiausiai 200 000 PBKDF2 + SHA-256 iteracijų). Asimetrinis šifravimas nenaudojamas, nes egzistuoja reikalavimai 1) siuntėjui, inicijuojančiam ryšį 2) siuntėjui ir gavėjui tuo pačiu metu neprisijungus prie interneto ir 3) nėra informacijos apie gavėją ir 4) mes stengiamės, kad viskas būtų paprasta, o raktų valdymas yra paprastas. sudėtinga. Standartinė žiniatinklio kriptografinė API naudojama visoms kriptografinėms funkcijoms, įskaitant RNG. Iš esmės štai kas atsitinka:
- Galutinis vartotojas įveda tekstinį pranešimą ir gali nurodyti kelias parinktis, įskaitant slaptažodį.
- Norint gauti raktą, sukuriamas saugus slaptažodis. Jei vartotojas nurodė slaptažodį, jis derinamas su sugeneruotu slaptažodžiu.
- Norint gauti reikiamų PBKDF2 + SHA-256 pakartojimų skaičių, iškviečiamas API skambutis ( šis veiksmas reikalingas norint kontroliuoti šlamštą )
- Sukuriama 32 baitų druska
- Raktas gaunamas iš druskos ir slaptažodžio
- Sukuriamas 12 baitų inicializacijos vektorius (IV)
- Pranešimas užšifruojamas naudojant raktą ir IV.
- Į serverį siunčiamas iteracijų skaičius, druska, IV ir šifruotas tekstas (kartu su kita informacija, pvz., TTL, RTL ir kt.)
- Serveris pateikia atsitiktinį ID, nurodantį pranešimą
- Tada naršyklė pateikia galutiniam vartotojui nuorodą, kurią vėliau galima bendrinti su gavėju. Visa informacija apie pranešimą saugoma URL maišos komponente ir todėl nėra siunčiama į serverį standartinės GET užklausos metu.
- Nuoroda bendrinama su gavėju.
- Gavėjas paraginamas, jei nori iššifruoti ir peržiūrėti pranešimą.
- Kai gavėjas nusprendžia peržiūrėti pranešimą, naršyklė pateikia užklausą, nurodydama pranešimo ID.
- Jei siuntėjas reikalauja užpildyti CAPTCHA, gavėjas nukreipiamas į kitą URL, kad įrodytų, jog yra žmogus (kai jis praeina, jis nukreipiamas atgal).
- Serveris siunčia užšifruotą pranešimą ir šiuo metu pagal numatytuosius nustatymus ištrins pranešimą, jei tiesioginis skaitymas (RTL) yra vienas.
- Gavėjas iššifruos pranešimą ir, jei reikia, bus paprašytas įvesti slaptažodį.
Iššifravimo raktas gali būti URL?
Taip. Jei slaptažodis nenaudojamas, pranešimą gali perskaityti visi, turintys nuorodą. Tai akivaizdžiai daro įtaką saugumui, nes jei nuorodos siuntimo metodas gali būti perimtas, tada pranešimas gali būti perimtas. Visi šios problemos sprendimo būdai apima papildomus veiksmus ir sudėtingumą, kurie turi įtakos vartotojo patirčiai (ty prieš išsiunčiant pranešimą, viskas turi būti nustatyta abiejuose galuose). Galų gale, jei dvi šalys dažnai siunčia pranešimus viena kitai, egzistuoja geresni sprendimai, darant prielaidą, kad abi šalys gali tvarkytis naudodami tuos sprendimus.
Bet iššifravimo raktas neturi būti URL?
Teisingai. Pranešimo autorius gali nurodyti slaptažodį, kad apsaugotų pranešimą. Šis slaptažodis naudojamas išvesti slaptą raktą, kuris nėra URL dalis . Jei naudojamas saugus slaptažodis ir jis saugiai perduodamas gavėjui (arba jis jau jį žino), tai apsaugo nuo perėmimo. Tačiau trūkumas yra tas, kad gavėjas turi žinoti ir teisingai įvesti slaptažodį. Štai vienas būdas nusiųsti slaptažodį gavėjui, kuris suteikia tam tikrą apsaugą nuo perėmimo:
- Užšifruokite slaptažodį pranešime su numatytais nustatymais ir nusiųskite šią nuorodą gavėjui.
- Kai gavėjas spustelėja nuorodą ir iššifruoja pranešimą, jis žino, kad niekas kitas negavo slaptažodžio prieš juos, nes žinutė, kurioje yra slaptažodis, ištrinama. Tačiau, jei yra aktyvi MITM ataka arba jei jūsų ar gavėjo įrenginys buvo pažeistas, vis tiek įmanoma, kad kita šalis gali gauti slaptažodį.
- Su gavėju patvirtinkite, kad jis sėkmingai gavo slaptažodį. Pvz., Jei gavėjas jus informuoja, kad kai jie atvyko gauti slaptažodžio, kad pranešimas jau buvo ištrintas, žinote, kad kažkas kitas gavo slaptažodį prieš gavėją, todėl slaptažodis yra pažeistas ir neturėtų būti naudojamas.
- Naudodami slaptažodį, kurį gavėjas patvirtino turintis, dabar galite išsiųsti pranešimą naudodami tą patį šifravimo slaptažodį.
Ši paslauga nepateikia nuorodos gavėjui?
Tai teisinga - mes sukuriame nuorodą ir paliekame siuntėjui, kaip geriausiai ją pristatyti gavėjui. Šios paslaugos tikslas yra suteikti galimybę pasiūlyti mažiau pastovumo esamuose pranešimų perdavimuose, pvz., El. Todėl tikimasi, kad mūsų sukurta nuoroda, nurodanti į laikiną pranešimą, bus išsiųsta per esamą pranešimų perdavimą. Tai turi saugumo problemų, kurias vartotojai turėtų suprasti. Imkime SMS žinutes kaip pavyzdį, nes tai yra gana nesaugus bendravimo būdas. Kai naudojatės šia paslauga laikinam pranešimui siųsti su numatytais nustatymais, visi nuorodą turintys asmenys gali perskaityti pranešimą ir nesiūloma jokia apsauga nuo perėmimo. Ši paslauga vis dar teikia laikiną ryšį, kuris gali pagerinti privatumą ir saugumą. Be to, slaptažodis gali būti naudojamas apsaugai nuo perėmimo.
Kaip galiu kiek įmanoma apsaugoti savo privatumą naudodamasis šia paslauga?
Kaip aptarta kitur šiame DUK, nors mes jau daug darome, kad apsaugotume jūsų privatumą ir nors nerenkame jokios asmeninės informacijos, tam tikrą su žurnalu susijusią informaciją pateikiame ir renkame mes ir kiti, jums naudojant žiniatinklio naršyklę. Tačiau yra keletas būdų, kaip dar labiau apsaugoti jūsų privatumą. Vienas iš būdų, kurį galima laisvai naudoti, remiantis atvirojo kodo programine įranga ir kuris veikia gana gerai, yra naudoti „ Tor“ naršyklę . Ši naršyklė skirta apsaugoti jūsų privatumą keliais lygiais, įskaitant „ Tor“ tinklo naudojimą . Mūsų svetainė jau pasiekiama per „Tor“ svogūnų tinklą, o tai reiškia, kad norint patekti į mūsų svetainę per „Tor“ nereikia naudoti išėjimo mazgo, o tai neleidžia kam nors pasiklausyti išėjimo mazgo srauto . Tačiau atminkite, kad net ir tokiu atveju jūsų IPT gali matyti, kad naudojate „Tor“, nors ir ne dėl ko. Jūs netgi galite prisijungti prie VPN ir paleisti „Tor“ naršyklę, kad gautumėte du anonimiškumo sluoksnius; tačiau atminkite, kad jūsų IPT vis tiek gali matyti, kad šiuo atveju naudojate VPN, nors ir ne dėl ko. Jei nenorite, kad jūsų IPT žinotų, kokius protokolus naudojate, galite prisijungti prie didelio viešojo „WiFi“ tinklo, pvz., Bibliotekos, mokyklos ir pan., Tada naudoti „Tor“ naršyklę.
Ką daryti, jei nepasitikiu JAV?
Mūsų serveriai yra JAV. Be to, mūsų CDN tiekėjas „Cloudflare“ yra JAV įsikūrusi bendrovė. Mes bandėme pašalinti poreikį pasitikėti mumis ar šalimi, kurioje yra mūsų serveriai vien todėl, kad nerenkame asmeninės informacijos, negalime iššifruoti jokių pranešimų ir viskas ištrinama netrukus po to, kai ji gaunama. Tačiau mes galime suprasti tam tikrą nepasitikėjimą, nes jis pagrįstas žiniatinkliu ir ypač jei gyvenate tam tikrose šalyse. Planuojame Islandijoje ir Šveicarijoje pasiūlyti variantų žmonėms, kuriems sunku pasitikėti JAV. Praneškite mums, ar tai taikoma jums, nes mes nebūsime motyvuoti siūlyti alternatyvų, nebent yra reali paklausa.
Ką darote, kad išvengtumėte šlamšto?
Kiekvieną kartą, kai leidžiate kam nors paskelbti pranešimą, kurį galima perduoti per nuorodą, pakviečiate nepageidaujamo e. Pašto platintojus. Šios problemos sprendimas nėra visiškai paprastas. Mes nenorime įkelti trečiosios šalies CAPTCHA kaip pranešimo siuntimo proceso dėl kelių priežasčių:
- Mes nekenčiame CAPTCHA - jie užtrunka ir erzina
- Trečiosios šalies „JavaScript“ įkėlimas gali pakenkti privatumui ir saugumui
- Vykdydami savo CAPTCHA reiškia, kad registruojamės į nesibaigiantį „Whack-a-Mole“ žaidimą
- Galų gale žmonės gali norėti, kad galėtų naudotis šia paslauga per API
- Didinamas reikiamų PBKDF2/SHA-256 pakartojimų skaičius
Visus pranešimus galima gauti tik nedaug kartų - tai yra nepatrauklus šlamšto siuntėjų atributas, nes jie remiasi daugybės pranešimų siuntimu. Kadangi šlamšto siuntėjas turėtų sukurti daug pranešimų bet kuriai šlamšto kampanijai, mes nusprendėme padaryti šią užduotį taip skaičiuojamai brangią, kad piktnaudžiavimas šia paslauga dėl šlamšto būtų nepatrauklus. Tai pasiekiama stebint tinklus, skelbiančius pranešimus, matuojamus pagal galimą išieškojimą. Pati tinklo informacija yra saugiai maišoma, todėl negalime iš maišos daryti išvados apie tikrąjį tinklą. Kai tinklas paskelbia daugiau pranešimų, mes padidiname PBKDF2/SHA-256 pakartojimų, reikalingų kitam pranešimui paskelbti, skaičių. Tai labai greitai lemia tai, kad vienam pranešimui paskelbti reikia daug CPU laiko. Tikimės, kad šis metodas bus tinkamas siekiant užkirsti kelią piktnaudžiavimui šlamštu ir tuo pačiu nepaveikti tikrų vartotojų. - Surinkite pranešimus apie šlamštą iš vartotojų, kai jie gauna pranešimą
Kai vartotojas gauna pranešimą, po pranešimu yra mygtukas „Pranešti apie šlamštą“. Jei pranešimas yra šlamštas, tikimės, kad kai kuriems prireiks 3 sekundžių, reikalingų spustelėti tą mygtuką. Kai gauname pranešimą apie šlamštą, jis mus įspėja ir taip pat turi įtakos tam, kad tam tikram tinklui būtų reikalingos PBKDF2/SHA-256 iteracijos.
Kodėl yra galimybė reikalauti, kad gavėjas užpildytų CAPTCHA?
Nors tiesa, kad mums nepatinka CAPTCHA, mes pripažįstame, kad jie tarnauja tam tikram tikslui ir turi laiką ir vietą (bent jau kol kas). Tai paprastas būdas siuntėjui įgyti tam tikrą garantiją, kad gavėjas yra žmogus ir kad automatiniai procesai neprieina pranešimo.
Kas teikia šią paslaugą ir kodėl ji nemokama?
Mes esame tik pora vaikinų, kurie kartais susidūrė su keblumu, kad neturi gerų galimybių apsaugoti savo privatumą. Dažnai tai lėmė bendravimas su draugais ir šeimos nariais, kurie nebuvo labai atsargūs, kaip elgėsi su savo prietaisais ir informacija. Kitais atvejais tai atsitiko naudojant žiniatinklio forumus, tokius kaip „Reddit“, arba naudojant žiniatinklio palaikymo sistemas. Radome keletą žiniatinklio laikinų pranešimų sprendimų, tačiau nė vienas nesiūlė E2EE, o tai reiškia, kad negalime jais pasitikėti. Taigi mes tiesiog sukūrėme savo sprendimą ir nusprendėme jį atiduoti, kad kiti galėtų iš to gauti naudos.
Kaip galiu pasitikėti atsakymais į aukščiau pateiktus klausimus?
Tikrai neturėtumėte pasitikėti jokia svetaine vien todėl, kad joje sakomi tam tikri dalykai - paprastai gera mintis patikrinti bet kokius teiginius. Mes bandėme pašalinti reikalavimą kuo labiau pasitikėti mumis naudodami visapusišką šifravimą. Pavyzdžiui, gana lengva patikrinti, ar negalime perskaityti jokių pranešimų, nes jie yra užšifruoti . Mes taip pat išlaikėme labai paprastą „JavaScript“ kodą, kuriame veikia ši svetainė , kad ją būtų lengva skaityti ir suprasti. Padarę visą kodą atvirą šaltinį, žmonės gali patikrinti, kas veikia; tačiau atminkite, kad nėra jokio būdo iš tikrųjų patikrinti, kas veikia serveryje. Nors tiesa, kad didžioji dalis pasitikėjimo reikalavimo pašalinama naudojant visapusišką šifravimą, vis dėlto tai yra veiksnys, kurį mūsų vartotojai daug laiko, kai nusprendžia naudotis šia paslauga.