सतत विचारले जाणारे प्रश्न
- या साइटचे खराब अनुवाद का केले गेले आहे? ⎃
- ही सेवा किती सुरक्षित आहे?
- मला संदेश कूटबद्ध करण्याच्या पर्यायासह एक दुवा येथे का प्राप्त झाला?
- आपण या साइटवर सबमिट केलेले सर्व हटवित आहात?
- ही सेवा का वापरावी?
- ही एक संदेशन सेवा आहे का?
- हेतूने वापरलेली प्रकरणे कोणती?
- ही सेवा कशासाठी वापरली जाऊ नये?
- का फक्त पीजीपी / सिग्नल / ओमेमो / मॅट्रिक्स / इ. वापरू नका?
- कोणत्या आवश्यकता अस्तित्वात आहेत?
- प्राप्तकर्ता संदेशाची एक प्रत बनवू शकतो?
- कोणतीही वैयक्तिक माहिती गोळा केली आहे?
- कोणती माहिती लॉग इन आहे?
- सर्व्हर सुरक्षित करण्यासाठी आपण काय करीत आहात?
- ही साइट वापरताना कोणती सुरक्षा जोखीम उपस्थित आहे?
- मॅन-इन-द-मिडल (एमआयटीएम) हल्ल्यांबद्दल आपण काय करीत आहात?
- ब्राउझर विस्तार कोणते फायदे देतात?
- सबमिट केलेले काहीही एंड-टू-एंड कूटबद्ध केलेले आहे हे मला कसे निश्चितपणे कळेल?
- या साइटवर एंड-टू-एंड एनक्रिप्शन कसे कार्य करते?
- डीक्रिप्शन संकेतशब्द URL मध्ये असू शकतो?
- पण डिक्रिप्शन पासवर्ड URL मध्ये असणे आवश्यक नाही?
- ही सेवा प्राप्तकर्त्यास दुवा वितरीत करीत नाही?
- ही सेवा वापरताना मी माझ्या गोपनीयतेचे जास्तीत जास्त संरक्षण कसे करू शकेन?
- मला अमेरिकेवर विश्वास नसेल तर काय करावे?
- स्पॅम रोखण्यासाठी आपण काय करीत आहात?
- प्राप्तकर्त्यास कॅप्चा पूर्ण करण्याची आवश्यकता का आहे?
- ही सेवा कोण चालवित आहे आणि ती विनामूल्य का आहे?
- वरील प्रश्नांच्या उत्तरांवर मी कसा विश्वास ठेवू शकतो?
या साइटचे खराब अनुवाद का केले गेले आहे? ⎃
क्षमस्व, परंतु सध्याचे लेखक केवळ इंग्रजी बोलतात. आम्हाला हा प्रकल्प अन्य भाषांमध्ये अनुवादित करण्यात मदत आवश्यक आहे. इंग्रजी न बोलणार्या लोकांना ही सेवा उपलब्ध करून देणे हे एक सोपा आणि स्वस्त साधन म्हणून आम्ही मशीन भाषांतर वापरतो. परिणाम सामान्यत: स्वीकार्य असतात, परंतु विचित्र शब्दांमध्ये किंवा अगदी पूर्णपणे चुकीची माहिती देखील येऊ शकते. आपण आम्हाला प्रत्येकासाठी अनुभव सुधारण्यास मदत करू शकता - कृपया अचूक भाषांतर सबमिट करा .
ही सेवा किती सुरक्षित आहे?
आम्ही या सेवेच्या उद्देशाने वापरण्यासाठी ही सेवा सुरक्षित करण्यासाठी बर्याच पावले उचलली आहेत. आम्ही या चरणांवर जाण्यापूर्वी, खालील गोष्टी समजून घेणे महत्वाचे आहे:
- एंड-टू-एंड एनक्रिप्शनमुळे आम्ही आपला संदेश वाचण्यात अक्षम आहोत , परंतु व्युत्पन्न झालेल्या डीफॉल्ट दुव्यामध्ये डिक्रिप्शन संकेतशब्द / की आहे ; आणि म्हणूनच, दुव्याच्या ताब्यात असलेला कोणीही आपला संदेश वाचू शकतो - त्यामध्ये व्यत्यय आणण्यात सक्षम असलेल्या कोणालाही.
- अधिक सेवा कायमस्वरुपी (उदाहरणार्थ ईमेल / मजकूर / इन्स्टंट-संदेशन / वेबसाइट / इत्यादी) पारंपारिक ट्रान्सपोर्टद्वारे कमी स्थायी संप्रेषणे (म्हणजेच पुनर्प्राप्तीनंतर हटविलेले संदेश) एन्क्रिप्टेड संदेश पाठविण्याची परवानगी देण्यासाठी ही सेवा फक्त एक साधन आहे. याचा अर्थ असा की जेव्हा आपण हे साधन वापरता तेव्हा निवडलेल्या वाहतुकीस अंतर्भूत असलेल्या कोणत्याही सुरक्षा / गोपनीयतेच्या समस्या (म्हणजे ईमेल) वारसा मिळतात .
- इतर निराकरणे उपलब्ध आहेत जी आपल्या गरजा आणि वातावरणावर अवलंबून चांगली सुरक्षा देतात. इतरांच्या तुलनेत ही सेवा देत असलेला मुख्य फायदा म्हणजे प्राप्तकर्त्यासाठी आवश्यकतेची खूपच कमी आवश्यकता आहे (म्हणजे त्यांना फक्त वेब ब्राउझर आणि दुव्यावर क्लिक करण्याची क्षमता आवश्यक आहे).
- डीफॉल्ट सेटिंग पुनर्प्राप्तीनंतर संदेश हटविण्याची असते, परंतु प्राप्तकर्त्यास त्याची प्रत बनविण्यापासून रोखण्यासारखे काहीही नाही . हे लक्षात ठेवा की हे सर्व तात्पुरत्या संदेश समाधानावर लागू होते - जर प्राप्तकर्ता संदेश पाहू शकत असेल तर तो कॉपी केला जाऊ शकतो.
- सर्व इंटरनेट संप्रेषण आपल्या गोपनीयतेशी तडजोड करू शकतात - आपण सोयीसाठी काही सुरक्षिततेचा व्यापार करत आहात.
- काही मूलभूत मुद्द्यांमुळे सुरक्षिततेचा प्रश्न येतो तेव्हा वेब एक आव्हानात्मक वातावरण असते - हे सर्व वेबसाइट्सवर लागू होते. तथापि, वेब-आधारित असल्याने आम्ही आपला संदेश जास्त सोपा वाचू शकत नाही असा आमचा दावा सत्यापित करतो .
- ही वेबसाइट आणि त्याचा डेटाबेस युनायटेड स्टेट्स मध्ये होस्टेड आहे. आम्ही आमचे कंटेंट-डिलिव्हरी-नेटवर्क (सर्व नेटवर्क रहदारी या नेटवर्कला ट्रॉव्हर्स करते) म्हणून युनायटेड स्टेट्स मध्ये स्थित क्लाउडफ्लेअर ही कंपनी वापरतो.
- सेवा वापरण्यासाठी कोणतीही वैयक्तिक माहिती (उदा. नाव / ईमेल / फोन / इत्यादी) आवश्यक नसते. कोणतीही खाते प्रणाली नाही (उदा. लॉगिन / संकेतशब्द / इ.); म्हणून, कोणताही डेटा उल्लंघन ही माहिती गळती करू शकत नाही.
- सर्व संदेश सामग्री एंड-टू-एंड एन्क्रिप्टेड आहे . दुसर्या शब्दांत, डिक्रिप्शन की / संकेतशब्द आम्हाला कधीही पाठविला जात नाही. म्हणून, आमच्याकडे किंवा डेटाबेसच्या ताब्यात असलेल्या कोणाकडेही संदेशाची सामग्री डिक्रिप्ट करण्याचे आणि पाहण्याचे कोणतेही साधन नाही.
- आमच्या डेटाबेसमधील प्रत्येक प्रविष्टीमध्ये 1 मिनिट ते 2 आठवडे (डीफॉल्ट ते 1 आठवड्यापर्यंत) पर्यंतचा कालावधी असतो. एकदा ही वेळ निघून गेल्यानंतर रेकॉर्ड स्वयंचलितपणे हटविला जाईल. म्हणूनच, आमच्या डेटाबेसमधील कोणतीही माहिती तयार झाल्यानंतर लवकरच हटविली जाईल .
- आम्ही केवळ शेवटच्या 24 तासांच्या वेब सर्व्हर लॉगची देखभाल करतो . डेटाबेसमध्ये संग्रहित कोणतीही आयपी माहिती सुरक्षितपणे हॅश केली जाते ज्यामुळे मूळ आयपी काढणे अशक्य होते.
- या सेवेला सामर्थ्य देणारा सर्व कोड ओपन सोर्स आहे आणि पुनरावलोकनासाठी उपलब्ध आहे. आपण एन्क्रिप्शन चालविणारा कोड सहजपणे पाहू शकता - हेतुपुरस्सर छोटा, संक्षिप्त आणि टिप्पणी केलेला आहे.
- सुरक्षितता बळकट करण्यासाठी अनेक तांत्रिक खबरदारी घेण्यात आल्या आहेत - ज्यात काही गोष्टींचा समावेश आहेः
- / एपीआय व्यतिरिक्त ही संपूर्ण वेब साइट स्थिर आहे आणि पृष्ठांमध्ये सर्व्हर-कोडचे समर्थन करत नाही (उदा. पीएचपी / जेएसपी / एएसपी / इ.)
- ब्राउझरचा एक भाग असलेले वेब क्रिप्टो एपीआय सर्व संदेश सामग्री कूटबद्ध करण्यासाठी वापरले जाते.
- टीएलएस आपला ब्राउझर आणि आमच्या सर्व्हर दरम्यान संप्रेषण कूटबद्ध करण्यासाठी केला जातो. हे संक्रमणात व्यत्यय आणू किंवा संपादीत केले जाऊ शकत नाही याची खात्री करण्यात मदत करते. TLS 1.3 समर्थित आहे, परंतु आम्ही जुन्या डिव्हाइससाठी TLS 1.2 चे देखील समर्थन करतो. टीएलएस च्या जुन्या आवृत्त्या अक्षम केल्या आहेत कारण त्या तितक्या सुरक्षित नाहीत.
- प्रमाणपत्र गैरवर्तनासाठी प्रमाणपत्र पारदर्शकता लॉगचे परीक्षण केले जाते. याव्यतिरिक्त आम्ही अनावश्यक किंवा द्वेषयुक्त प्रमाणपत्रांचा चुकीचा धोका कमी करण्यासाठी प्रमाणपत्र अधिकृतता अधिकृतता (सीएए) धोरण प्रकाशित करतो.
- आम्ही टीएलएस प्रोटोकॉल वापरुन ब्राउझर आमच्या सर्व्हरशी नेहमी संवाद साधत असल्याचे सुनिश्चित करण्यासाठी आम्ही एचटीटीपी स्ट्रिक्ट ट्रान्सपोर्ट सिक्युरिटी (एचएसटीएस) वापरतो. याव्यतिरिक्त, आम्ही आमची डोमेन प्रीलोड लोडमध्ये समाविष्ट करतो.
- क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) हल्ले रोखण्यासाठी कठोर सामग्री सुरक्षा धोरण लागू केले आहे.
- क्रॉस-ओरिजन रिसोर्स पॉलिसी , क्रॉस-ओरिजिन एम्बेडर पॉलिसी आणि क्रॉस-ओरिजिन ओपनर पॉलिसीचा वापर करून आम्ही स्पेक्टर आणि मेल्टडाउन सारख्या सट्टेबाज साइड-चॅनेलवरील हल्ल्यांपासून बचाव करण्यासाठी क्रॉस ओरिजन कोड प्रतिबंधित करतो. हे केवळ मूळ-मूळ दस्तऐवजांकडे ब्राउझिंग संदर्भ विभक्त करून इतर उत्पत्तीकडील संभाव्य दुर्भावनायुक्त विनंत्यांविरूद्ध संरक्षण प्रदान करते.
- ब्राउझरला संसाधने लोड करण्यापासून प्रतिबंधित करण्यासाठी आम्ही परवानग्यासाठी धोरण वापरतो जे आपले स्थान, वेब-कॅम, मायक्रोफोन इ. सारख्या गोपनीयतेशी तडजोड करू शकतात.
- डीएनएसएसईसीचा वापर आमच्या सर्व डोमेनवर डीएनएस-आधारित एमआयटीएम हल्ले कमी करण्यात मदत करण्यासाठी केला जातो.
- आम्ही सर्व्हर सुरक्षित करण्यासाठी अनेक सावधगिरी बाळगतो.
- कोणताही तृतीय पक्षाचा कोड लोड केलेला नाही (म्हणजे jQuery) आणि खूप कमी स्त्रोत लोड केल्या आहेत (पुढे जाण्यासाठी आणि चेक करण्यासाठी डेव्ह टूल्समध्ये नेटवर्क टॅब उघडा) - यामुळे ऑडिट करण्यासाठी आवश्यक असलेला प्रयत्न कमी केला जातो. एक अपवाद असा आहे की जर कॅप्चा आवश्यक असेल तर - ते एचपी कॅप्चावरुन तृतीय पक्षाचा कोड लोड करेल. तथापि, एचसीप्चा कोड स्वतःच्या सीएसपी नियमांमध्ये स्वतःच्या यूआरएलवर लोड करतो आणि संदेशासह काहीही करण्यास कोणत्याही वेळी प्रवेश नसतो.
- एमआयटीएम हल्ल्यांपासून बचाव करण्यासाठी मदत करणारे साधन म्हणून ब्राउझर विस्तार उपलब्ध आहेत .
मला संदेश कूटबद्ध करण्याच्या पर्यायासह एक दुवा येथे का प्राप्त झाला?
या भाषांतरात काही त्रुटी असल्यास आम्ही दिलगिरी व्यक्त करतो. ही सेवा सहजपणे एका बिंदूपासून दुसर्या बिंदूपर्यंत एक कूटबद्ध संदेश पाठवते आणि आपण प्राप्तकर्ता आहात. संदेश लवकरच हटविला जाईल. या सेवेच्या ऑपरेटरकडे संदेश सामग्री वाचण्याचा कोणताही मार्ग नाही. सहसा कोणीतरी ही सेवा विविध डेटाबेस / डिव्हाइस / सर्व्हिसेस / फाइल्स / इत्यादीमध्येच संदेशाची सामग्री राहू इच्छित नसताना ही सेवा वापरते. ईमेल / इन्स्टंट-संदेश / मजकूर इ. पाठविताना ठराविक आहे. आपण डिक्रिप्ट करण्याचे ठरविल्यास, कृपया खालील गोष्टी लक्षात ठेवा:
- कदाचित हा संदेश आपल्या डिव्हाइसवर डिक्रिप्शनसाठी पाठविल्यानंतर तो त्वरित हटविला जाईल. याचा अर्थ असा की आपण संदेश डिक्रिप्ट करण्यासाठी बटणावर क्लिक केल्यानंतर आमच्याकडे यापुढे आपल्याला नंतर पाठविण्यासाठी एक प्रत नाही.
- आम्ही प्राप्त सर्व माहिती पद्धतशीरपणे हटवितो. संदेश तयार झाल्यावर एक मिनिट ते दोन आठवडे दरम्यान कुठेही हटवले जातील - संदेश कधीही डिक्रिप्ट न केलेला आहे याची पर्वा न करता. दुसर्या शब्दांत, आपल्याला संदेश वाचण्याची आवश्यकता असल्यास, डीक्रिप्ट करण्यासाठी जास्त वेळ प्रतीक्षा करू नका.
- प्रेषकाचा असा विश्वास आहे की संदेशातील सामग्री काळजीपूर्वक हाताळली पाहिजे. त्यांनी कदाचित असेही सूचित केले असेल की त्यांना कोणत्याही प्रती बनवायच्या नाहीत. कृपया त्यांच्या इच्छेचा आदर करा.
- आपल्याला संदेशाला डिक्रिप्ट करण्यासाठी संकेतशब्द विचारल्यास, ब्राउझर विंडो / टॅब बंद करू नका. या यादीतील पहिल्या बुलेट पॉईंटनुसार, कदाचित आम्ही नंतर दुसरी प्रत पाठवू शकत नाही. आपण संकेतशब्द प्रविष्ट करेपर्यंत फक्त ब्राउझर विंडो / टॅब उघडा. आपण चुकीचा संकेतशब्द प्रविष्ट केल्यास आपल्यास पुन्हा सूचित केले जाईल. संकेतशब्द तंतोतंत प्रविष्ट करणे आवश्यक आहे. लक्षात ठेवा की भिन्न भाषा आणि संकेतशब्द आवश्यकता समाविष्ट करण्यासाठी, आम्ही संकेतशब्दांमध्ये बर्याच भिन्न वर्णांचा स्वीकार करतो.
आपण या साइटवर सबमिट केलेले सर्व हटवित आहात?
आमच्या कचर्यामध्ये लोगो लोगो खरं आहे ... सर्वकाही प्राप्त झाल्यानंतर लवकरच ते हटविले जाते. सर्वकाही हटविणे स्वयंचलित आहे - ते सर्व्हरमध्ये लिहिलेले आहे. अशाप्रकारे याचा विचार करा - माहितीचे दोन वर्ग सादर केले आहेत:
- कूटबद्ध संदेश ज्यांच्यासाठी आमच्याकडे सामग्री डिक्रिप्ट करण्याचे कोणतेही साधन नाही
- वेबवर काहीही सबमिट करण्यातील इतर माहिती (उदा. तुमचा आयपी पत्ता इ.)
- जर कोणी हा संदेश परत घेतला नाही तर आपण किती काळ ठेवावा (1 मिनिट ते 2 आठवडे - डीफॉल्ट 1 आठवड्यापर्यंत).
- संदेश किती वेळा पुनर्प्राप्त केला (1 ते 100 वेळा - 1 वेळा डीफॉल्टपर्यंत)
ही सेवा का वापरावी?
ही सेवा एक साधन आहे जे आपण पाठविलेले संदेश कमी / कमी प्राप्त करते. आपण इंटरनेटवर जे संप्रेषण करता ते बर्याचदा (गप्पा, मजकूर, ईमेल इ.) संग्रहित आणि क्वचितच हटविले जाते. बर्याच वेळा, जेव्हा आपण एखादी गोष्ट हटविता तेव्हा ती प्रत्यक्षात हटविली जात नाही परंतु हटविली म्हणून चिन्हांकित केली जाते आणि यापुढे आपल्याला प्रदर्शित केले जाणार नाही. आपले एकूण संप्रेषण वर्षानंतर डेटाबेसमध्ये आणि आपल्याकडे कोणतेही नियंत्रण नसलेले डिव्हाइसवर जमा होते. अपरिहार्यपणे, आपली संप्रेषण संचयित करणार्या संस्था / लोक / उपकरणांपैकी एक किंवा अधिक हॅक झाल्याची आणि आपली माहिती लीक झाली आहे. ही समस्या इतकी व्यापक आहे की आता अशा बर्याच वेबसाइट्स आहेत ज्या त्या वेबसाइटशी तडजोड करतात ज्याने तडजोड केली आहे आणि वापरकर्त्याचा डेटा लीक केला आहे. आपले काही संप्रेषण कमी कायम करण्यात मदत करण्यासाठी एंड-टू-एंड एन्क्रिप्टेड तात्पुरते संदेश हा एक सोपा उपाय आहे. या साइटवर सबमिट केलेल्या प्रत्येक संदेशामध्ये 1 मिनिट ते 2 आठवड्यांपर्यंतचे थेट-वेळ असते - एकदा तो वेळ गेला की संदेश हटविला जातो. शिवाय, डीफॉल्ट सेटिंग म्हणजे प्राप्तकर्त्याने तो परत मिळविल्यानंतर कोणताही संदेश हटविणे होय. याव्यतिरिक्त, प्राप्तकर्त्याच्या डिव्हाइसवर सर्व संदेश आपल्या डिव्हाइसवरून कूटबद्ध केले आहेत. एंड-टू-एंड एन्क्रिप्शनचा उपयोग करण्याचे मुख्य लक्ष्य म्हणजे कोणतेही सबमिट केलेले संदेश वाचण्याची आपली क्षमता काढून टाकणे आणि त्याद्वारे विश्वासातील काही आवश्यकता काढून टाकणे. अंतिम परिणाम असा आहे की साध्या दुव्याद्वारे एन्क्रिप्टेड संदेश पाठविणे आता सोपे आहे. तो संदेश पाठविल्यानंतर लवकरच किंवा पुनर्प्राप्तीनंतर हटविला जाईल. आपल्याला विशेष सॉफ्टवेअर स्थापित / कॉन्फिगर करण्याची आवश्यकता नाही. आपल्याला एखादे खाते तयार करण्याची किंवा कोणतीही वैयक्तिक माहिती प्रदान करण्याची आवश्यकता नाही. प्राप्तकर्त्यास आपल्या संपर्कात असण्याची किंवा या सेवेबद्दल माहिती नसण्याची गरज आहे - ते केवळ दुव्यावर क्लिक करू शकतात.
ही एक संदेशन सेवा आहे का?
नाही. ही सेवा इन्स्टंट मेसेजिंग / ईमेल / मजकूर / इत्यादी विद्यमान मेसेजिंग सेवांच्या पूरकतेसाठी डिझाइन केलेली आहे. बर्याच काळासाठी पाठविलेले संदेश रोखण्याची क्षमता जोडून. आम्ही व्युत्पन्न केलेला दुवा प्राप्तकर्त्याकडे देत नाही .
हेतूने वापरलेली प्रकरणे कोणती?
मग ही सेवा वापरणे योग्य असेल तेथे अशी काही परिस्थिती काय आहेत? प्रत्येकाच्या गोपनीयतेची आणि सुरक्षिततेची आवश्यकता असताना वेगवेगळ्या गरजा आणि आवश्यकता असते, परंतु मला वैयक्तिकरित्या खालील परिस्थिती योग्य वापर प्रकरणे म्हणून सापडल्या आहेत:
- आपण स्थानिक वेब मंचाद्वारे या भागात माउंटन बाइक चालविण्याबद्दल संवाद साधत आहात आणि काहीवेळा एकत्र नवीन ट्रेल्स शोधण्यासाठी फोरमवरील लोकांशी संपर्क साधता. फोरममधील एखाद्यास आपल्यास या ठिकाणी आठवड्याच्या शेवटी आपल्या गाडीने कार्पूलवर नेण्यासाठी इच्छित आहे. आपल्याला आपल्या घराचा पत्ता या वेबसाइट साइट फोरम डेटाबेसमध्ये कायमचा बसलेला नको आहे. फक्त या सेवेद्वारे पत्ता पाठवा - वेब साइट फोरम डेटाबेसमध्ये असलेला दुवा हा आहे, परंतु एकदा तो प्राप्तकर्त्याने वाचल्यानंतर संदेश / पत्ता हटविला जाईल.
- आपण आपल्या भावाला आपला नेटफ्लिक्स लॉगिन पाठविणे आवश्यक आहे कारण कोविड लॉकडाऊनमुळे तुमची भाची त्याला वेडा बनवित आहे आणि अद्याप त्याचे स्वत: चे खाते नाही. आपण या लॉगिनबद्दल फारशी काळजी घेत नाही, परंतु आपला भाऊ खासकरुन वाईट आहे ज्याला मी फक्त "डिजिटल हायजीन" म्हणतो आणि तडजोड लॉगिन आणि मालवेयरसह बर्याच चाचण्या झाल्या आहेत. त्यानंतरची कृती त्याला साफ करायला लावण्याचा प्रयत्न आणि त्याच्यासाठी सुरक्षित मेसेजिंग स्थापित करणे अयशस्वी ठरले. मजकूर संदेशाद्वारे फक्त पाठवणे हा कदाचित सर्वात चांगला पर्याय आहे (दु: ख), परंतु मागील अनुभवामुळे लॉगिन त्याच्या संदेशाच्या इतिहासामध्ये बसणे आपल्याला अस्वस्थ आहे. मजकूर संदेशाच्या दुव्याद्वारे लॉगिन पाठविण्यासाठी या सेवेचा उपयोग केल्याने त्याच्या गप्पांच्या इतिहासामध्ये लॉगिनला कायमचे हँग आउट होऊ देत नाही.
- आपण कधीकधी कार्यालयात काम करता ज्यात बरेच सामायिक भाडेकरू असतात जे नेहमी येतात आणि येतात. वापरासाठी वायफाय उपलब्ध आहे, परंतु गैरवर्तन केल्याने समस्या येत असल्याने प्रत्येक आठवड्यात संकेतशब्द फिरविला जातो. बरेच भाडेकरू ईमेल / मजकूर वायफाय संकेतशब्द विचारत असतात जरी तो समोरच्या डेस्कवर असला तरीही बहुतेक मुख्य प्रवेशद्वाराद्वारे प्रवेश करत नाहीत. ही सेवा वापरुन, ऑफिस व्यवस्थापक ईमेल / मजकूर उत्तरातील दुव्याद्वारे वायफाय संकेतशब्द पाठवू शकतो संकेतशब्द विलंब होऊ देत नाही याचे समाधान आहे, आणि प्राप्तकर्त्यास त्वरित एक कॉपी बटणाद्वारे संकेतशब्द कॉपी करण्यास परवानगी देतो जे मोबाइल डिव्हाइसवर कमी अनाड़ी आहे.
- आपल्या होस्टिंग प्रदात्यांपैकी एकाने आपल्यास नोंदवलेल्या सर्व्हरबद्दल तपशील विचारत आहे जे हार्ड ड्राइव्ह खराब असल्याचे दिसत आहे. त्यांना आवश्यक असलेली काही माहिती थोडीशी संवेदनशील आहे - ती आपण वापरत असलेल्या तृतीय पक्षाच्या तिकिट सिस्टममध्ये कायमची बसून राहू इच्छित नाही. या सेवेचा वापर करून, आपण माहिती तंत्रज्ञानी तिकीट प्रणालीमध्ये न ठेवता समर्थन तंत्रज्ञांना पाठवू शकता. एकाधिक तंत्रज्ञांना बर्याच वेळा त्या माहितीचा संदर्भ घ्यावा लागतो, म्हणून वाच्य-ते-लाइव्ह 1 (म्हणजे 20) पेक्षा मोठे सेट करा जेणेकरुन संदेश पहिल्या पुनर्प्राप्तीवर हटविला जाऊ नये.
- आपल्याला रेडडीटवरील दुसर्या वापरकर्त्यास आपला फोन नंबर कळविण्यासाठी त्यांना खासगी संदेश पाठवणे आवश्यक आहे जेणेकरुन ते आपल्याला कॉल करू शकतील. रेडडिटने इतर बर्याच प्रदात्यांप्रमाणे पूर्वी देखील वापरकर्त्याची माहिती लीक केली आहे आणि पुढचा गळती होईपर्यंत आपला फोन नंबर रेडिटच्या डेटाबेसमध्ये बसलेला नाही. या सेवेद्वारे आपला फोन नंबर फक्त पाठवा.
- आपण आपल्या कामावर असताना आपल्या जोडीदाराला संदेश पाठविला जातो की आपल्याला युटिलिटी लॉगिन पाहिजे आहे कारण तिच्या मैत्रिणीने नुकताच एक नवीन प्रोग्राम करून पाहिला ज्याने तिचे पैसे तिच्या इलेक्ट्रिक बिलावर वाचविले आणि ती ती तपासून पाहू इच्छित आहे. एक सामायिक कौटुंबिक संकेतशब्द व्यवस्थापक आहे ज्याची आपण तिला आठवण करुन देत आहात, परंतु आपण लॉगिन पाठवावे असे तिला वाटते. ओमेमो आपल्या जोडीदारासह त्वरित संदेशासाठी नियुक्त केला गेला आहे आणि म्हणूनच संदेश परिवहन सुरक्षित असल्याची आपल्याला खात्री आहे; तथापि, चॅटचा इतिहास स्वतःच विनाएनक्रिप्टेड संग्रहित आहे. डाउनलोड, ईमेल इ. बद्दल नेहमीच आपल्या जोडीदाराबद्दल सावधता नसते आणि युटिलिटी बिले थोडीशी संवेदनशील असतात कारण त्यांचा उपयोग निवास सिद्ध करण्यासाठी ओळख चोरीसाठी केला जाऊ शकतो. तिच्या संगणकावर एक प्रत संग्रहित होऊ नये म्हणून आपण या सेवेचा वापर करून तिला लॉगिन तपशील पाठवू शकता.
ही सेवा कशासाठी वापरली जाऊ नये?
या FAQ मध्ये स्पष्ट केलेल्या सर्व कारणांसाठी ही सेवा अत्यंत संवेदनशील माहितीसाठी वापरली जाऊ नये. खाली काय करावे याची काही उदाहरणे खाली दिली आहेतः
- अयोग्य संदेश परिवहन "अधिक सुरक्षित" करण्यासाठी या सेवेचा वापर करु नका. डीफॉल्ट सेटिंग म्हणजे संदेश वाचू शकणार्या URL मध्ये संकेतशब्द समाविष्ट करणे, दुवा असलेला कोणीही संदेश वाचू शकतो. वर नमूद केल्याप्रमाणे, आपण हे साधन वापरता तेव्हा निवडलेल्या वाहतुकीस अंतर्भूत असलेल्या कोणत्याही सुरक्षा / गोपनीयतेच्या समस्या (म्हणजे मजकूर) वारसा मिळतात. म्हणूनच, उदाहरणार्थ, आपल्या संवेदनशील स्वभावामुळे आपण विशिष्ट माहिती पाठविण्यासाठी कधीही ईमेल वापरण्याचा विचार करत नसल्यास आपण ईमेलचा त्या भागास "सुरक्षित" करण्यासाठी या सेवेचा वापर करू नये.
- संदेशाची कोणतीही प्रत बनली नाही हे सुनिश्चित करण्यासाठी ही सेवा वापरू नका. आम्ही पुनर्प्राप्तीनंतर ताबडतोब आपली एनक्रिप्टेड संदेशाची प्रत हटविली आणि कॉपी करणे आम्हाला अधिक अवघड बनविते, याचा अर्थ असा नाही की संदेश कॉपी होऊ शकत नाही. जर प्राप्तकर्ता त्यांच्या स्क्रीनचा फोटो घेत असेल तर? ते फक्त संदेश खाली लिहित तर काय? शेवटी, जर प्राप्तकर्ता संदेश वाचू शकेल तर - एक प्रत बनविली जाऊ शकते.
- आपल्याकडे संदेश परत शोधला जाऊ शकत नाही याची खात्री करण्यासाठी ही सेवा वापरू नका. एका सेवेवरून दुसर्या संदेशापर्यंत पोहोचण्यासाठी ही सेवा दुसर्या संदेश परिवहन प्रदात्यावर अवलंबून आहे (उदा. ईमेल, चॅट इ.) नियोजित संदेश वाहतुकीचा संदेश आपल्यास परत मिळू शकेल.
- आपण पाठविण्यास नकार देऊ इच्छित असलेली कोणतीही सेवा पाठविण्यासाठी ही सेवा वापरू नका. केवळ संदेश स्वतःच हटविला गेला आहे, असा नाही की हटवलेल्या संदेशास सूचित करणारा दुवा हटविला गेला आहे. आपण आपल्या मित्राला ईमेल पाठविल्यास आणि त्या ईमेलच्या काही भागाचा या सेवेच्या संदेशाशी दुवा असल्यास, एका अनौपचारिक वाचकास संदेशामध्ये काहीतरी वेगळे असल्याचे कळेल. जरी दुव्याद्वारे संदर्भित केलेला संदेश बराच काळ गेला असेल - तरी हे स्पष्ट आहे की काहीतरी दुसरे पाठवले गेले आहे आणि ते आपल्या मित्रास पाठविले आहे.
का फक्त पीजीपी / सिग्नल / ओमेमो / मॅट्रिक्स / इ. वापरू नका?
आपण ज्यास सुरक्षित तात्पुरते संदेश पाठवू इच्छित असलेल्या व्यक्तीस ओळखत असल्यास, त्यांना बर्याचदा पाठवा, गप्पांसारखे इंटरफेसची अपेक्षा करा आणि / किंवा प्राप्तकर्त्याकडे आवश्यक सॉफ्टवेअर असेल आणि ते कसे वापरावे याची अपेक्षा करू शकता, ही वेबसाइट कदाचित ती नाही सर्वोत्तम समाधान. खुले स्रोत आहेत, E2EE चे समर्थन करतात, वेब-आधारित नाहीत आणि तात्पुरते संदेशांना समर्थन देणारे सिग्नल सारखे काही चांगले पर्याय आहेत. मी जवळच्या मित्रांसह आणि कुटूंबियांशी गप्पा मारण्यासाठी वैयक्तिकरित्या खाजगी एक्सएमएमपी सर्व्हर आणि ओमेमो वापरतो. आपल्याला प्राप्तकर्ता कोणते सॉफ्टवेअर चालवत आहे हे माहित नसल्यास, त्यांचे फोन नंबर / संपर्क-हँडल माहित नसतील, त्यांचे तांत्रिक कौशल्य माहित नाही (परंतु ते एखाद्या दुव्यावर क्लिक करू शकतात असे समजा) तरच ही साइट वापरणे इष्टतम ठरू शकते. किंवा आपण पाठवित असलेला संदेश अंतर्निहित संप्रेषण वाहतुकीच्या बाहेर ठेवणे पसंत करतात.
कोणत्या आवश्यकता अस्तित्वात आहेत?
एक आधुनिक आणि अद्ययावत वेब ब्राउझर जो वेब क्रिप्टो एपीआयसह मानकांची योग्यरित्या अंमलबजावणी करणे आवश्यक आहे. उदाहरणांमध्ये हे समाविष्ट आहेः क्रोम, फायरफॉक्स, काठ आणि सफारी (2020 किंवा त्यानंतरचा)
प्राप्तकर्ता संदेशाची एक प्रत बनवू शकतो?
होय जरी पुनर्प्राप्तीनंतर संदेश स्वतः हटविला जाऊ शकतो, तरीही प्राप्तकर्ता संदेश पाहू शकतो. कधीही प्राप्तकर्ता संदेश पूर्णपणे पाहू शकतो, एक प्रत बनविली जाऊ शकते - हे सर्व संप्रेषणांवर लागू होते. प्राप्तकर्त्यास प्रत बनविणे अधिक अवघड बनविण्याचा एक पर्याय आहे. या प्रकरणात कॉपी करण्यासाठी तीन अडथळे लागू केले आहेत:
- कॉपी बटण काढले आहे. हे बटण प्राप्तकर्त्यास त्यांच्या क्लिपबोर्डमध्ये संपूर्ण संदेश कॉपी करण्याची परवानगी देण्यापासून डीफॉल्ट करते.
- डाउनलोड बटण काढले आहे. हे बटण प्राप्तकर्त्यास मजकूर फाईल म्हणून संदेश डाउनलोड करण्यास परवानगी देण्यास डीफॉल्ट होते.
- संदेश मजकूर बॉक्समध्ये मजकूर निवडण्याची क्षमता काढून टाकली आहे.
कोणतीही वैयक्तिक माहिती गोळा केली आहे?
आम्ही वापरकर्ता खाती (उदा. वापरकर्तानाव / संकेतशब्द) समर्थन देत नाही. आम्ही आपल्याला ओळखू शकणारी कोणतीही माहिती एकत्रित करीत नाही (उदा. नाव / पत्ता / ईमेल / फोन). आपण पाठवित असलेल्या संदेशामध्ये काही वैयक्तिक माहिती असू शकते हे शक्य आहे, परंतु ते कूटबद्ध आहे आणि आमच्याकडे ते वाचण्याचा कोणताही मार्ग नाही. कृपया संपूर्ण माहितीसाठी आमच्या गोपनीयता धोरणाचे पुनरावलोकन करा.
कोणती माहिती लॉग इन आहे?
आमचा वेब सर्व्हर सर्व वेब क्रियाकलापांवर सामान्य लॉग स्वरूपातील 24 तास ठेवतो. यात HTTP क्लायंटचा पूर्ण IP पत्ता लॉग करणे समाविष्ट आहे. 24 तासांनंतर, ही लॉग इन केलेली माहिती स्वयंचलितपणे हटविली जाईल. / एपीआय वर पाठविलेल्या सर्व विनंत्या पोस्ट केलेल्या अर्थ असतात की वेब सर्व्हरद्वारे कोणतीही संदेश विशिष्ट माहिती लॉग केली जात नाही. याव्यतिरिक्त, डेटाबेसमध्ये जतन केलेली कोणतीही माहिती प्रभावीपणे लॉग केली जाते. अनामिक आणि हॅश केलेले आयपी पत्त्यांसह डेटाबेसमधील सर्व नोंदींमध्ये कालबाह्यता वेळ असतो (टीटीएल) त्यानंतर त्या स्वयंचलितपणे हटविल्या जातात. टीटीएलची कालबाह्यता वेळ 1 मिनिट ते 2 आठवड्यांच्या दरम्यान बदलते.
सर्व्हर सुरक्षित करण्यासाठी आपण काय करीत आहात?
सर्व्हर सुरक्षितता ही एक स्पष्ट चिंता आहे. ते सुरक्षित ठेवण्यावर आम्ही लक्ष केंद्रित करणारी दोन मुख्य क्षेत्रे आहेतः
- प्रथम, आम्ही शक्य तितक्या कमीतकमी वेळेसाठी कमीतकमी साठवतो जेणेकरून सर्व्हरशी कधीही तडजोड केली गेली असेल तर कोणतीही माहिती गळती आमच्या वापरकर्त्यांसाठी हानिकारक होणार नाही. डेटाबेसमध्ये संग्रहित सर्व संदेश डिक्रिप्ट करण्यासाठी कोणतेही साधन नसलेले कूटबद्ध आहेत. आम्ही आमच्या वापरकर्त्यांकडून कोणतीही वैयक्तिक माहिती एकत्रित करत नसल्यामुळे आमच्या वापरकर्त्यांपैकी कोणत्याही संदेशाशी दुवा साधण्यासारखे काहीही नाही. डेटाबेसमधील सर्व रेकॉर्डमध्ये एक मिनिट ते 2 आठवडे कालावधी समाप्ती कालावधी असतो (टीटीएल) - ही वेळ उत्तीर्ण झाल्यानंतर रेकॉर्ड स्वयंचलितपणे हटविला जातो. म्हणूनच डेटाबेसमध्ये असलेली बरीचशी माहिती बर्याच दिवसांपूर्वीच हटविली गेली होती.
- तडजोड रोखण्यासाठी आम्ही अनेक उपाययोजना करतो आणि त्यात कोणतीही तडजोड होते:
- लॉगशिवाय अन्य कशावरही लेखी प्रवेश न घेता वेगळा कंटेनरमध्ये वेब सर्व्हर, एनजीन्क्स चालविला जातो. कंटेनर त्याच्या स्वत: च्या एसईएलिनक्स संदर्भात चालतो, पुढे कोणत्याही सिस्टम सिस्टममधील बदल किंवा कंटेनरमधून सुलभतेने प्रतिबंधित करते. पीएचपी / एएसपी / जेएसपी / इत्यादींसाठी कोणतेही समर्थन नाही. - फक्त स्थिर संसाधने देत आहे.
- कोड चालत आहे / एपीआय गो मध्ये लिहिलेले आहे जे ओव्हरफ्लो असुरक्षा (सामान्य हल्ला वेक्टर) ला बफर करण्यासाठी बर्यापैकी लवचिक बनवावे. गो प्रक्रिया एका वेगळ्या कंटेनरमध्ये देखील अनप्रिव्ह्लिगेड वापरकर्ता म्हणून चालते ज्यात डेटाबेस व्यतिरिक्त इतर कशाचाही लेखी प्रवेश नसतो. कंटेनर त्याच्या स्वत: च्या एसईएलिनक्स संदर्भात चालतो, पुढे कोणत्याही सिस्टम सिस्टममधील बदल किंवा कंटेनरमधून सुलभतेने प्रतिबंधित करते. डेटाबेस, बॅजरडबी , गो प्रक्रियाचा एक भाग आहे (बाह्य डेटाबेस अवलंबित्व / प्रक्रिया नाही).
- सर्व्हरच्या तडजोडीचा मुख्य धोका असा आहे की हल्लेखोर फायली सुधारित करू शकतो ज्यायोगे आमच्या वापरकर्त्यांच्या गोपनीयता / सुरक्षिततेशी तडजोड होईल. एक समर्पित प्रक्रिया कोणत्याही बदलांसाठी सर्व वेबसाइट साइट फायलींचे परीक्षण करते आणि काही बदल झाल्यास आम्हाला त्वरित सतर्क करते.
- सर्व प्रशासकीय प्रवेश संरक्षित आणि अधिकृत नेटवर्कपुरता मर्यादित आहे.
ही साइट वापरताना कोणती सुरक्षा जोखीम उपस्थित आहे?
यापैकी काही जोखमींवर लक्ष देण्यापूर्वी मला वाटते की अर्ध-संक्षिप्त साधर्म्य कोणत्याही इंटरनेट संप्रेषणांचा वापर करण्याच्या जोखमींचे सारांश देण्यासाठी मदत करू शकेल. अशी कल्पना करा की कोणतीही प्रणाली साखळीतील सर्वात कमकुवत दुव्याइतकीच सुरक्षित आहे. आता अशा परिस्थितीची कल्पना करा जेथे सीलबंद खोलीत दोन लोक आहेत त्यांना जे काही पाहण्याचे, ऐकण्याची किंवा रेकॉर्ड करण्याचे कोणतेही साधन नाही. एखादा संदेश दुसर्याला पाठवितो की संदेश वाचून ते जाळेल. जर त्या खोलीच्या बाहेरील एखाद्याने आधीच संदेश पाठविला असेल तर तो खूप कठीण जाईल. संदेश प्राप्त करण्यासाठी सर्वात कमकुवत दुवा काय आहे? तेथे निवडण्यासाठी बरेच दुवे नाहीत - ही एक छान शॉर्ट चेन आहे. आता कल्पना करा की जेव्हा आपण इंटरनेटवर संदेश पाठवाल की साखळीत कमीतकमी दहा लाख दुवे आहेत - त्यातील बरेचसे कमकुवत आहेत - त्यापैकी बरेच पूर्णपणे आपल्या नियंत्रणाबाहेर आहेत - आणि ते वास्तव आहे.
एनक्रिप्शन वापरणे वरील दशलक्ष दुव्याच्या समस्येस आणि त्याद्वारे विचारात घेणे सोपे आहे की चांगल्या प्रकारे डिझाइन केलेले ई 2 ईई प्रणाली अंतिम-समाधानाची ऑफर देऊ करते. तथापि, ही विचारसरणी आपल्याला अडचणीत आणू शकते, कारण एखादा आक्रमणकर्ता सहसा सिस्टममधील कमकुवत दुव्या नंतर जातो. उदाहरणार्थ, आपला फोन किंवा संगणक ताब्यात घेणे आणि वायरवर कूटबद्ध संदेश क्रॅक करण्याऐवजी आपण टाइप केलेले प्रत्येक गोष्ट वाचण्यासाठी इनपुट लॉगर सेट करणे हे खूपच सोपे आहे. सर्वात महत्त्वाची गोष्ट अशी आहे की जर मला महत्त्वपूर्ण / गंभीर महत्त्व लपवून ठेवण्याचे काम सोपवले गेले असेल तर मी फक्त शेवटच्या उपायांच्या पद्धती म्हणून इलेक्ट्रॉनिक संप्रेषण वापरेन.
म्हणून कोणतेही संप्रेषण वापरुन सुरक्षिततेची जोखीम आहेत, परंतु तरीही आपण बँकिंग, वस्तू खरेदी, ईमेल इत्यादीसाठी वेब ब्राउझर वापरता. यामुळे मिळणार्या प्रचंड सोयीसाठी हा स्वीकारलेला धोका आहे. खरोखर प्रश्न आहे ... या साइटवर कोणते सुरक्षा धोके अर्ध-विशिष्ट आहेत? काही लोकांच्या मनातल्या मनात
- या सेवेस सर्वात मोठा धोका आणि सर्वात वेगळा असा आहे की काय पाठविणे योग्य आहे आणि काय पाठविणे योग्य नाही हे समजून घेताना आमचे वापरकर्ते योग्य निर्णयाचा वापर करणार नाहीत. कधीकधी "मी ही माहिती ईमेल करण्यास सोयीस्कर आहे - माझी इच्छा आहे की वाचन केल्यानंतर ईमेल हटविले जाईल" आणि "मी ही माहिती ईमेल करण्यास सोयीस्कर नाही - ईमेल एक अनुचित वाहतूक आहे" हे अगदी सूक्ष्म असू शकते.
- नेहमीच धोका असतो की या साइटचे ऑपरेटर लोकांना वाईट सेवेचे लक्ष्य मिळविण्यासाठी लोकांना सेवेचा वापर करण्यास उद्युक्त करतात. आमच्याकडे विश्वासघातकी आहे - प्रत्येक गोष्ट सोपी आणि विनामूल्य करा - सेवा वापरत बरेच लोक मिळवा - सर्व काही भितीदायक हेतूने. बुवाहााहा! आपण आमच्यावर कसा विश्वास ठेवू शकता?
- आमच्या कोडमध्ये बग्स असण्याची शक्यता आहे जी सुरक्षिततेवर परिणाम करतात किंवा आम्ही फक्त गोष्टींचा विचार केला नाही आणि आपल्या उणीवा आता आमच्या वापरकर्त्यांना असुरक्षित धोक्यात आणत आहेत. आम्हाला खात्री आहे की आशा नाही - परंतु आम्ही ती नाकारू शकत नाही.
- टेक-टायटन्स (म्हणजेच गूगल / फेसबुक / व्हॉट्सअॅप) च्या विपरीत ज्यात एन्क्रिप्टेड डेटाचे टेराबीट्स सतत त्यांच्या प्रचंड नेटवर्कमध्ये येत असतात आणि असतात, जिथे खाजगी संप्रेषण इतर रहदारीसह एकत्रित करणे सोपे आहे, स्टँडअलोन सेंट्रलाइझ् सर्व्हिसेस (म्हणजे सिग्नल, टेलिग्राम, आणि आम्ही) बाहेर उभे आहोत. नेटवर्क ऑपरेटर किंवा अगदी मोठ्या संस्था / सरकारसाठी हे समजणे सोपे आहे की आयपी पत्ता एक्सएक्सएक्सएक्स एक्स वायड सेवा वापरत आहे.
- या साइटवर खरोखरच विशिष्ट नसले तरीही त्याचा वापर कोणत्याही वेबसाइटवर केला जाऊ शकत असल्याने मॅन-इन-द-मिडल (एमआयटीएम) हल्ले करणे ही एक वैध चिंता आहे .
मॅन-इन-द-मिडल (एमआयटीएम) हल्ल्यांबद्दल आपण काय करीत आहात?
वेबसाइट्सचे सर्व वापरकर्ते संभाव्यत: एमआयटीएमच्या हल्ल्याचा बळी होऊ शकतात - या साइटवरील वेबवरील इतरांपेक्षा ही साइट वेगळी नाही. जेव्हा एखादा हल्लेखोर वापरकर्त्याच्या ब्राउझर आणि साइटच्या वेब सर्व्हर दरम्यान संप्रेषण थांबवू आणि सुधारित करतो तेव्हा एमआयटीएम हल्ला होतो. हे शेवटच्या वापरकर्त्याला वापरली जाणारी साइट असल्याचे दिसत असतानाही आक्रमणकर्त्यास साइटचा कोणताही कोड / सामग्री सुधारित करण्यास अनुमती देते. एमआयटीएम हल्ला अधिक कठीण करण्यासाठी आम्ही काही उपाययोजना करतो:
- ब्राउझरला केवळ टीएलएसद्वारे कनेक्ट करण्यास भाग पाडण्यासाठी एचएसटीएसचा वापर केला जातो. आमचा सर्व्हर पुनर्निर्देशित करण्याशिवाय अन्य टीएलएस संप्रेषणाकडे दुर्लक्ष करण्यासाठी कॉन्फिगर केले आहे. केवळ टीएलएस १.२ किंवा त्यापेक्षा जास्त समर्थित आहेत.
- आमच्या डोमेनच्या झोनमध्ये साइन करण्यासाठी डीएनएसएसईसीचा वापर केला जातो. जर वापरकर्त्याने डीएनएसएसईसी जागरूक रिकर्सीव्ह निराकरणकर्ता नियुक्त केले असेल तर हे डीएनएस स्पूफिंग लागू केलेले एमआयटीएम हल्ले थांबवू शकेल.
- आमच्या डोमेनचा संदर्भ देत कोणतेही अधिकृत अनधिकृत टीएलएस प्रमाणपत्र देणार्या प्रमाणपत्र अधिकार्यांच्या देखरेखीसाठी आम्ही एक सेवा वापरतो.
- आम्ही अंतिम वापरकर्त्याच्या डिव्हाइसवर संग्रहित कोड वापरून संदेश एन्क्रिप्शनला समर्थन देण्यासाठी ब्राउझर विस्तार प्रकाशित केला आहे.
ब्राउझर विस्तार कोणते फायदे देतात?
आम्ही अतिरिक्त सुविधा आणि अतिरिक्त सुरक्षा प्रदान करण्याचे साधन म्हणून ब्राउझर विस्तार ऑफर करतो. सरळ शब्दात सांगा ... विस्तार तात्पुरते संदेश पाठवणे जलद आणि सुलभ करते. काही सुरक्षितता देखील प्राप्त केली गेली आहे कारण एन्क्रिप्ट करण्यासाठी आणि संदेश तयार करण्यासाठी वापरलेला सर्व कोड विस्तारात स्थानिकरित्या संग्रहित केला जातो. कोड स्थानिक पातळीवर संग्रहित असल्यामुळे, प्रेषकांना एमआयटीएम हल्ल्यांपासून काही संरक्षण प्रदान करते. तथापि, हे दर्शविण्यासारखे आहे की विस्तार संदेशासंदर्भात तडजोड करणार्या एमआयटीएम हल्ल्यापासून अधिक संरक्षण प्रदान करीत असताना, एमआयटीएम हल्ला अद्याप प्रभावी ठरू शकतो (म्हणजे टीओआर / व्हीपीएन / वगैरे वापरत नसल्यास प्रेषकाचा आयपी पत्ता निश्चित करणे).
सबमिट केलेले काहीही एंड-टू-एंड कूटबद्ध केलेले आहे हे मला कसे निश्चितपणे कळेल?
इतर बर्याच लोकप्रिय एंड-टू-एंड एनक्रिप्टेड (E2EE) चॅट क्लायंट्सच्या विपरीत, आपण संदेश सबमिट करता तेव्हा आम्हाला काय पाठवले जाते हे पाहणे अगदी सोपे आहे. खाली व्हिडिओ ट्यूटोरियल आपल्यास सर्व्हरवर पाठविलेले संदेश डिक्रिप्ट करण्याचा कोणताही मार्ग नाही याची पुष्टी कशी करावी हे दर्शविते.
तसेच, जर आपण याबद्दल विचार केला तर जोपर्यंत आम्ही कोणतीही संवेदनशील संदेश संकलित करण्याचा प्रयत्न करीत नाही अशा गुप्त एजन्सी असल्याशिवाय संदेश डिक्रिप्ट करण्यास सक्षम होण्याने आपल्याला फायदा होणार नाही कारण त्या क्षमतामुळेच आपल्यासाठी समस्या निर्माण होतात. आम्हाला मेसेजदेखील ठेवायचे नाहीत - तथापि हे वितरित करणे ही एक आवश्यक गोष्ट आहे.या साइटवर एंड-टू-एंड एनक्रिप्शन कसे कार्य करते?
यावेळी, आम्ही संकेतशब्दांकडून काढलेल्या की सह सममितीय एनक्रिप्शन (एईएस-जीसीएम 256 बिट) वापरत आहोत (पीबीकेडीएफ 2 / एसएचए -२ 25 of च्या किमान १,000०,००० पुनरावृत्ती). असममितिक एनक्रिप्शन वापरला जात नाही कारण आवश्यकता अस्तित्त्वात आहेत १) प्रेषकाने संप्रेषण सुरू करणे २) प्रेषक आणि प्राप्तकर्ता एकाच वेळी ऑनलाइन नसणे आणि)) प्राप्तकर्त्याबद्दल कोणतीही माहिती नाही आणि)) आम्ही गोष्टी वास्तविक ठेवण्याचा प्रयत्न करीत आहोत आणि की व्यवस्थापन आहे क्लिष्ट आरएनजीसह सर्व क्रिप्टोग्राफिक कार्यक्षमतेसाठी मानक वेब क्रिप्टो एपीपी वापरला जातो. मुळात जे घडते ते येथे आहे:
- अंतिम वापरकर्ता संकेतशब्द निवडतो किंवा एखादा स्वयं-व्युत्पन्न होतो
- आवश्यक पीबीकेडीएफ 2 / एसएचए -२ 25 ite पुनरावृत्तीची संख्या प्राप्त करण्यासाठी एपीआय कॉल केला जातो ( स्पॅम नियंत्रणासाठी हे चरण आवश्यक आहे )
- 32 बाइट मीठ तयार होते
- मीठ आणि संकेतशब्दातून एक की काढली जाते
- एक 12 बाइट इनिशिएलायझेशन वेक्टर (IV) व्युत्पन्न होते
- संदेश + IV की वापरून एनक्रिप्ट केला आहे
- पुनरावृत्ती गणना, मीठ, चतुर्थांश आणि सिफरटेक्स्ट सर्व्हरवर पाठविले जातात (टीटीएल, आरटीएल इत्यादी काही माहितीसह)
- सर्व्हर संदेशाचा संदर्भ देऊन यादृच्छिक आयडी परत करतो
- नंतर ब्राउझर अंतिम वापरकर्त्यास दुव्यासह सादर करतो ज्यात परत केलेला आयडी आणि संकेतशब्द असतो किंवा संकेतशब्दाशिवाय दुवा असतो (अशा परिस्थितीत प्राप्तकर्त्यास संकेतशब्द माहित असणे आवश्यक आहे आणि तो प्रविष्ट करणे आवश्यक आहे)
- संकेतशब्द दुव्याचा भाग असल्यास, तो URL हॅशमध्ये आहे आणि म्हणून जेव्हा प्राप्तकर्ता GET विनंती करतो तेव्हा सर्व्हरला कधीही पाठविला जात नाही
- प्राप्तकर्त्यास त्यांना संदेश डिक्रिप्ट करुन पहाण्याची इच्छा असल्यास त्यांना सूचित केले जाईल
- ब्राउझर संदेश आयडी निर्दिष्ट करण्याची विनंती करते
- प्रेषकास कॅप्चा पूर्ण करणे आवश्यक असल्यास, प्राप्तकर्ता ते मनुष्य असल्याचे सिद्ध करण्यासाठी दुसर्या URL वर निर्देशित केले जातात (एकदा त्यांनी उत्तीर्ण झाल्यानंतर त्यांना परत निर्देशित केले जाईल)
- सर्व्हर कूटबद्ध संदेश पाठवते आणि वाचन-लाइव्ह (आरटीएल) एक असल्यास डीफॉल्टनुसार संदेश या ठिकाणी हटवेल
- प्राप्तकर्ता संकेतशब्दासह संदेश डिक्रिप्ट करेल (आणि URL मध्ये नसल्यास संकेतशब्दासाठी सूचित केला जाईल)
डीक्रिप्शन संकेतशब्द URL मध्ये असू शकतो?
होय हे स्पष्टपणे सुरक्षेवर परिणाम करते कारण दुवा पाठविण्याची पद्धत असुरक्षित असल्यास, असोसिएशनद्वारे संदेश असुरक्षित आहे. या समस्येस दूर करण्यासाठी सर्व उपायांनी वापरकर्त्याच्या अनुभवावर परिणाम करणारे अतिरिक्त चरणे आणि गुंतागुंत (उदाहरणार्थ संदेश पाठविण्यापूर्वी गोष्टी दोन्ही टोकांवर सेटअप करणे आवश्यक आहे) समाविष्ट करतात. एक असममित योजना ज्याद्वारे प्राप्तकर्ता संदेशासाठी विनंती करतो आणि विनंती दुवा आमच्या "सर्वकाही इफेमेरल आहे" की आवश्यकतेसह कार्य करू शकते अशी पाठवते - ही अंमलबजावणी केली जाऊ शकते. शेवटी, जर दोन पक्ष वारंवार एकमेकांना संदेश पाठवत असतील तर त्या उपायांचा वापर करून दोन्ही पक्ष हाताळू शकतात असे गृहीत धरून चांगले उपाय अस्तित्त्वात आहेत.
पण डिक्रिप्शन पासवर्ड URL मध्ये असणे आवश्यक नाही?
योग्य. जर डिक्रिप्शन पासवर्ड दुव्यामध्ये समाविष्ट नसेल तर प्राप्तकर्त्यास संकेतशब्दासाठी सूचित केले जाईल. जर संकेतशब्द प्राप्तकर्त्याला सुरक्षितपणे कळवला गेला असेल (किंवा त्यांना ते आधीच माहित असेल), हे इंटरसेप्टपासून संरक्षण प्रदान करते. तथापि, गैरसोय हा आहे की प्राप्तकर्त्याला पासवर्ड माहित असणे आणि योग्यरित्या प्रविष्ट करणे आवश्यक आहे. प्राप्तकर्त्यास संकेतशब्द पाठवण्याचा हा एक मार्ग आहे जो हस्तक्षेपापासून काही संरक्षण प्रदान करतो:
- डीफॉल्ट सेटिंग्जसह संदेशामध्ये संकेतशब्द कूटबद्ध करा आणि ही लिंक प्राप्तकर्त्याला पाठवा.
- जेव्हा प्राप्तकर्ता दुव्यावर क्लिक करतो आणि संदेश डिक्रिप्ट करतो, तेव्हा त्यांना माहित होते की त्यांच्या आधी कोणीही संकेतशब्द प्राप्त केला नाही कारण संकेतशब्द असलेला संदेश पुनर्प्राप्तीनंतर हटविला जातो. तथापि, जर सक्रिय एमआयटीएम हल्ला असेल किंवा आपले डिव्हाइस किंवा प्राप्तकर्त्याच्या डिव्हाइसशी तडजोड केली गेली असेल तर, तरीही दुसरा पक्ष पासवर्ड मिळवू शकतो.
- प्राप्तकर्त्यासह खात्री करा की त्यांनी यशस्वीरित्या संकेतशब्द प्राप्त केला आहे. उदाहरणार्थ, जर प्राप्तकर्ता आपल्याला सूचित करतो की जेव्हा ते संकेतशब्द पुनर्प्राप्त करण्यासाठी गेला होता, की संदेश आधीच हटवला गेला होता, तर तुम्हाला माहित आहे की प्राप्तकर्त्याच्या आधी कोणीतरी पासवर्ड प्राप्त केला आहे आणि त्यामुळे संकेतशब्द तडजोड केला आहे आणि वापरला जाऊ नये.
- प्राप्तकर्त्याने त्यांच्याकडे असलेल्या संकेतशब्दाचा वापर करून, आता आपण एन्क्रिप्शनसाठी समान संकेतशब्द वापरून संदेश पाठवू शकता - फक्त दुव्याची आवृत्ती सामायिक करा ज्यामध्ये संकेतशब्द नाही.
ही सेवा प्राप्तकर्त्यास दुवा वितरीत करीत नाही?
ते बरोबर आहे - आम्ही दुवा व्युत्पन्न करतो आणि प्राप्तकर्त्यास तो देण्याचा सर्वोत्तम मार्ग कसा पाठवायचा ते ठेवतो. या सेवेचे ध्येय ईमेल / चॅट / मजकूर / इत्यादीसारख्या मेसेज ट्रान्सपोर्टमध्ये कमी स्थायीपणा प्रदान करणारा एक पर्याय प्रदान करणे हे आहे. म्हणूनच, अशी अपेक्षा आहे की आम्ही व्युत्पन्न केलेला दुवा अस्तित्वातील संदेश वाहतुकीद्वारे तात्पुरत्या संदेशास कोणत्या बिंदूकडे निर्देश करतो. यात वापरकर्त्यांनी समजून घ्यावे असे सुरक्षिततेचे प्रभाव आहेत. चला एक एसएमएस मजकूर संदेश एक उदाहरण म्हणून घेऊया कारण ही संप्रेषणाची एक अतिशय असुरक्षित पद्धत आहे. जेव्हा आपण ही सेवा मजकूर संदेशाद्वारे तात्पुरता संदेश दुवा पाठविण्यासाठी वापरता, आपण दुव्यामध्ये संकेतशब्द समाविष्ट केलेला डीफॉल्ट मोड वापरत असाल तर, दुवा असलेले कोणीही संदेश वाचू शकतात आणि व्यत्यय विरोधात कोणतेही संरक्षण दिले जात नाही. ही सेवा अद्याप अधिक तात्पुरते संप्रेषण प्रदान करते जी गोपनीयता आणि सुरक्षितता वाढवू शकते. या व्यतिरिक्त, आपण संकेतशब्दाशिवाय दुवा पाठविण्यास निवड करू शकता आणि यामुळे इंटरसेप्ट विरूद्ध संरक्षण प्रदान केले जाईल.
ही सेवा वापरताना मी माझ्या गोपनीयतेचे जास्तीत जास्त संरक्षण कसे करू शकेन?
या एफएक्यू मध्ये इतरत्र चर्चा केल्याप्रमाणे, जरी आम्ही आधीच आपल्या गोपनीयतेचे रक्षण करण्यासाठी बरेच काही केले असूनही आम्ही कोणतीही वैयक्तिक माहिती संकलित करत नाही, तरीही काही लॉग संबंधित माहिती आमच्याद्वारे आणि इतरांनी आपल्याद्वारे वेब ब्राउझर वापरुन सबमिट केली आणि संग्रहित केली आहे. तथापि, आपली गोपनीयता आणखी संरक्षित करण्याचे अनेक मार्ग आहेत. टोर ब्राउझर वापरणे, मुक्त स्त्रोत सॉफ्टवेअरवर आधारित आणि वापरण्यासाठी विनामूल्य एक मार्ग आहे. हा ब्राउझर टॉर नेटवर्क वापरण्यासह - एकाधिक स्तरांवर आपली गोपनीयता संरक्षित करण्यासाठी डिझाइन केलेले आहे. टॉर कांदा नेटवर्कद्वारे आमच्या साइटवर आधीपासूनच प्रवेश करण्यायोग्य आहे म्हणजे टॉर मार्गे आमच्या साइटवर प्रवेश करण्यासाठी एक्झिट नोडचा वापर करण्याची आवश्यकता नाही, ज्यामुळे एक्झिट नोडच्या रहदारीवर कोणाकडे दुर्लक्ष होणार नाही. तथापि, हे लक्षात ठेवा की या परिस्थितीत देखील, आपला आयएसपी पाहू शकतो की आपण टॉर वापरत आहात - काय नाही तर. आपण व्हीपीएनशी कनेक्ट देखील करू शकता आणि नंतर अज्ञाततेच्या दोन थरांसाठी टॉर ब्राउझर लाँच करू शकता; तथापि, हे लक्षात ठेवा की आपला ISP अद्याप पाहू शकते की आपण या परिस्थितीत VPN वापरत आहात - कशासाठी नाही. आपण आपला आयएसपी आपला कोणता प्रोटोकॉल वापरत आहात हे जाणून घेऊ इच्छित नसल्यास आपण एखाद्या लायब्ररी, शाळा इत्यादीसारख्या मोठ्या सार्वजनिक वायफाय नेटवर्कशी कनेक्ट होऊ शकता आणि नंतर टॉर ब्राउझर वापरू शकता.
मला अमेरिकेवर विश्वास नसेल तर काय करावे?
आमचे सर्व्हर युनायटेड स्टेट्स मध्ये आहेत. याव्यतिरिक्त, आमचा सीडीएन प्रदाता क्लाउडफ्लेअर ही अमेरिकेतील एक कंपनी आहे. आम्ही आमच्यावर विश्वास ठेवण्याची गरज दूर करण्याचा प्रयत्न केला आहे किंवा ज्या देशात आमचे सर्व्हर रहात आहेत केवळ त्या कारणास्तव आम्ही वैयक्तिक माहिती संकलित करत नाही, कोणतेही संदेश डीक्रिप्ट करू शकत नाही आणि ते प्राप्त झाल्यानंतर लवकरच सर्व काही हटविले जाते. तथापि, आम्ही हा अविश्वास वेब-आधारित असल्याने आणि विशेषत: जर आपण विशिष्ट देशांमध्ये राहात असाल तर आम्हाला समजत नाही. ज्या लोकांचा आम्हाला अमेरिकेत विश्वास आहे अशा लोकांसाठी आइसलँड आणि स्वित्झर्लंडमध्ये पर्याय देण्याची आमची काही योजना आहे. कृपया ही आम्हाला आपल्यास लागू असल्यास ते आम्हाला सांगा, कारण खरी मागणी नसल्यास आम्हाला पर्याय ऑफर करण्यास प्रवृत्त केले जाणार नाही.
स्पॅम रोखण्यासाठी आपण काय करीत आहात?
आपण एखाद्यास दुव्याद्वारे रीलिझ होऊ शकणारा संदेश पोस्ट करण्याची परवानगी कोणालाही देता, आपण स्पॅमर्सना आमंत्रित करता. या समस्येवर लक्ष ठेवणे पूर्णपणे सरळ नाही. आम्हाला काही कारणास्तव संदेश पाठविण्याच्या प्रक्रियेचा एक भाग म्हणून थर्ड पार्टी कॅप्चा लोड करायचा नाही:
- आम्हाला कॅप्चा आवडत नाही - ते वेळ घेतात आणि त्रास देतात
- तृतीय पक्षाचे जावास्क्रिप्ट लोड करणे गोपनीयता आणि सुरक्षिततेसाठी आक्रमक असू शकते
- आमचा स्वतःचा कॅप्चा चालवणे म्हणजे आम्ही वॅक-ए-तीलच्या कधीही न संपणार्या खेळासाठी साइन अप करत आहोत.
- अखेरीस लोकांना API द्वारे या सेवेमध्ये संवाद साधण्यास सक्षम होऊ इच्छित असेल
- आवश्यक PBKDF2 / SHA-256 पुनरावृत्ती संख्या वाढवित आहे
सर्व संदेश केवळ बर्याच वेळा परत मिळवता येतील - स्पॅमर्ससाठी एक अतुलनीय गुणधर्म कारण ते बरेच संदेश पाठविण्यावर अवलंबून असतात. एखाद्या स्पॅम मोहिमेसाठी स्पॅमरने बर्याच संदेश तयार करावे लागतात म्हणून - आम्ही स्पॅमसाठी या सेवेचा गैरवापर करण्यासारखे प्रयत्न करणे संगणकीयदृष्ट्या हे कार्य करणे जास्त पसंत केले आहे. हे संदेश पोस्टिंग नेटवर्कचा मागोवा ठेवून केले जाते - एकूण शक्य पुनर्प्राप्तींच्या बाबतीत मोजले जाते. नेटवर्क माहिती स्वतःच सुरक्षितपणे हॅश केली गेली आहे जेणेकरून आम्ही हॅशमधून वास्तविक नेटवर्क शोधू शकत नाही. दिलेल्या नेटवर्कवर अधिक संदेश पोस्ट केल्यामुळे आम्ही पुढील संदेश पोस्ट करण्यासाठी आवश्यक असलेल्या पीबीकेडीएफ 2 / एसएचए -२ 256 पुनरावृत्तीची संख्या वाढवितो. याचा परिणाम फक्त एक संदेश पोस्ट करण्यासाठी भरपूर सीपीयू वेळ लागतो. आशा आहे की स्पॅम गैरवर्तन रोखण्यासाठी ही पद्धत पुरेशी असेल आणि त्याच वेळी वास्तविक वापरकर्त्यांवर परिणाम होणार नाही. - जेव्हा त्यांनी संदेश पुनर्प्राप्त केला तेव्हा वापरकर्त्यांकडील स्पॅम अहवाल मिळवा
जेव्हा संदेश संदेश पुनर्प्राप्त करतो तेव्हा संदेशाच्या खाली "रिपोर्ट स्पॅम" बटण असते. एखादा संदेश स्पॅम असल्यास, त्या बटणावर क्लिक करण्यासाठी काहीजण 3 सेकंदांचा वेळ घेतील. जेव्हा आम्हाला स्पॅम अहवाल प्राप्त होतो तेव्हा तो आम्हाला सतर्क करतो आणि दिलेल्या नेटवर्कसाठी आवश्यक पीबीकेडीएफ 2 / एसएएचए 256 पुनरावृत्तीवर परिणाम करण्यास देखील कारणीभूत असतो.
प्राप्तकर्त्यास कॅप्चा पूर्ण करण्याची आवश्यकता का आहे?
हे खरे आहे की आम्हाला कॅप्चा आवडत नाही, परंतु आम्ही ते ओळखतो की ते हेतू साध्य करतात आणि त्यांचा वेळ आणि वेळ आहे (किमान आत्ता तरी). प्राप्तकर्ता मानव आहे आणि स्वयंचलित प्रक्रिया संदेशात प्रवेश करत नाहीत हे काही आश्वासन मिळवण्याचा हा सोपा मार्ग आहे.
ही सेवा कोण चालवित आहे आणि ती विनामूल्य का आहे?
आम्ही फक्त काही जोडप्या आहोत ज्यांना आमची गोपनीयता सुरक्षित ठेवण्यात मदत करण्यासाठी काही चांगले पर्याय नसल्याचा त्रास सहन करावा लागला होता. बर्याच वेळा याचा परिणाम असा होतो की त्यांनी मित्र आणि कुटुंबातील सदस्यांशी संवाद साधला ज्यामुळे त्यांनी त्यांचे डिव्हाइस आणि माहिती कशी हाताळली याबद्दल फारशी काळजी घेतली नाही. रेडडीट सारख्या वेब-आधारित मंचांचा वापर करताना किंवा वेब-आधारित समर्थन प्रणाली वापरताना असेच घडले. आम्हाला काही वेब-आधारित तात्पुरते संदेश निराकरण आढळले, परंतु कोणत्याहीने ई 2 ईई देऊ केले नाही ज्याचा अर्थ असा आहे की आम्ही त्यांच्यावर विश्वास ठेवू शकत नाही. म्हणून आम्ही नुकतेच आमचे निराकरण तयार केले आणि ते देण्याचे ठरविले जेणेकरुन इतरांना त्याचा फायदा होऊ शकेल.
वरील प्रश्नांच्या उत्तरांवर मी कसा विश्वास ठेवू शकतो?
खरोखर आपण कोणत्याही वेबसाइटवर विश्वास ठेवू नये कारण त्या विशिष्ट गोष्टी बोलतात - कोणत्याही दाव्यांची पडताळणी करणे ही विशेषत: चांगली कल्पना आहे. एंड-टू-एंड एन्क्रिप्शन वापरुन आमच्यावर जास्तीत जास्त विश्वास ठेवण्याची आवश्यकता आम्ही दूर करण्याचा प्रयत्न केला आहे. उदाहरणार्थ, हे ऑडिट करणे खूपच सोपे आहे की कोणतेही संदेश एन्क्रिप्टेड नसल्यामुळे आम्ही वाचू शकत नाही . आम्ही जावास्क्रिप्ट कोड देखील चालू ठेवत आहोत जेणेकरून या साइटवर चालत जाणे खूप सोपे आहे. सर्व कोड मुक्त स्त्रोत बनविणे लोकांना काय चालले आहे हे सत्यापित करण्यास अनुमती देते; तथापि, हे लक्षात ठेवा सर्व्हर काय चालले आहे हे सत्यापित करण्याचा कोणताही मार्ग नाही. हे खरं आहे की विश्वास आवश्यकतेचा बराच भाग एंड-टू-एंड एन्क्रिप्शनद्वारे काढून टाकला जातो, तरीही ही सेवा वापरण्याचा किंवा नाही याचा निर्णय घेताना आमच्या वापरकर्त्यांचा जास्त तोल आहे.