Często Zadawane Pytania
- Dlaczego ta strona jest słabo przetłumaczona? ⎃
- Jak bezpieczna jest ta usługa?
- Dlaczego otrzymałem tutaj link z opcją odszyfrowania wiadomości?
- Usuwasz wszystko, co zostało przesłane do tej witryny?
- Dlaczego warto korzystać z tej usługi?
- Czy to jest usługa przesyłania wiadomości?
- Jakie są zamierzone przypadki użycia?
- Do czego ta usługa nie powinna być używana?
- Dlaczego po prostu nie użyć PGP/Signal/OMEMO/Matrix/itd.?
- Jakie są wymagania?
- Czy odbiorca może wykonać kopię wiadomości?
- Czy zbierane są jakiekolwiek dane osobowe?
- Jakie informacje są rejestrowane?
- Co robisz, aby zabezpieczyć serwery?
- Jakie zagrożenia bezpieczeństwa występują podczas korzystania z tej witryny?
- Co robisz z atakami typu man-in-the-middle (MITM)?
- Jakie korzyści oferują rozszerzenia przeglądarki?
- Skąd mogę mieć pewność, że wszystko, co zostało przesłane, jest całkowicie zaszyfrowane?
- Jak działa szyfrowanie typu end-to-end w tej witrynie?
- Hasło deszyfrujące może znajdować się w adresie URL?
- Ale hasło deszyfrujące nie musi znajdować się w adresie URL?
- Ta usługa nie dostarcza linku do odbiorcy?
- Jak mogę maksymalnie chronić swoją prywatność podczas korzystania z tej usługi?
- A jeśli nie ufam Stanom Zjednoczonym?
- Co robisz, aby zapobiec spamowi?
- Dlaczego istnieje opcja wymagania od odbiorcy wypełnienia CAPTCHA?
- Kto prowadzi tę usługę i dlaczego jest bezpłatna?
- Jak mogę zaufać odpowiedziom na powyższe pytania?
Dlaczego ta strona jest słabo przetłumaczona? ⎃
Przepraszamy, ale obecni autorzy mówią tylko po angielsku. Potrzebujemy pomocy w tłumaczeniu tego projektu na inne języki. Jako prosty i niedrogi sposób udostępnienia tej usługi osobom, które nie mówią po angielsku, wykorzystujemy tłumaczenie maszynowe. Wyniki są zazwyczaj akceptowalne, ale mogą skutkować dziwnymi sformułowaniami lub nawet całkowicie niedokładnymi informacjami. Możesz pomóc nam ulepszyć usługi dla wszystkich — prześlij poprawne tłumaczenie .
Jak bezpieczna jest ta usługa?
Podjęliśmy wiele kroków, aby ta usługa była bezpieczna do użytku zgodnie z jej przeznaczeniem . Zanim przejdziemy przez te kroki, ważne jest, aby zrozumieć, co następuje:
- Chociaż nie możemy odczytać Twojej wiadomości z powodu pełnego szyfrowania , wygenerowany domyślny link zawiera hasło/klucz odszyfrowywania ; dlatego każdy, kto posiada link, może przeczytać Twoją wiadomość – w tym każdy, kto może ją przechwycić.
- Ta usługa jest tylko narzędziem umożliwiającym wysyłanie mniej trwałych komunikatów (tj. zaszyfrowanych wiadomości, które są usuwane po pobraniu) za pośrednictwem tradycyjnych, bardziej trwałych transportów (np. e-mail/tekst/wiadomości błyskawiczne/strona internetowa/itp.). Oznacza to, że wszelkie problemy związane z bezpieczeństwem/prywatnością związane z wybranym transportem (np. poczta e-mail) są dziedziczone podczas korzystania z tego narzędzia .
- Dostępne są inne rozwiązania, które oferują lepsze zabezpieczenia w zależności od potrzeb i środowiska. Główną zaletą tej usługi w porównaniu do innych są znacznie niższe wymagania dla odbiorcy (tzn. wystarczy przeglądarka internetowa i możliwość kliknięcia w link).
- Chociaż domyślnym ustawieniem jest usuwanie wiadomości po pobraniu, nic nie stoi na przeszkodzie, aby odbiorca wykonał kopię . Pamiętaj, że dotyczy to wszystkich tymczasowych rozwiązań wiadomości - jeśli odbiorca widzi wiadomość, można ją skopiować.
- Cała komunikacja internetowa może zagrażać Twojej prywatności — dla wygody wymieniasz pewne zabezpieczenia.
- Sieć jest trudnym środowiskiem, jeśli chodzi o bezpieczeństwo ze względu na pewne podstawowe kwestie – dotyczy to wszystkich witryn internetowych. Jednak korzystanie z Internetu znacznie ułatwia zweryfikowanie naszego twierdzenia, że nie możemy odczytać Twojej wiadomości .
- Niniejsza witryna internetowa i jej baza danych są hostowane w Stanach Zjednoczonych. Używamy Cloudflare, firmy z siedzibą w Stanach Zjednoczonych, jako naszej sieci dostarczania treści (cały ruch sieciowy przechodzi przez tę sieć).
- Korzystanie z usługi nie wymaga podania danych osobowych (tj. imię/e-mail/telefon/itd.). Brak systemu kont (tj. login/hasło/itd.); dlatego żadne naruszenie danych nie może ujawnić tych informacji.
- Cała treść wiadomości jest w pełni zaszyfrowana . Innymi słowy, klucz/hasło deszyfrujące nigdy nie są do nas wysyłane. Dlatego ani my, ani ktokolwiek inny będący w posiadaniu bazy danych, nie mamy możliwości odszyfrowania i przeglądania treści wiadomości.
- Każdy wpis w naszej bazie danych ma czas życia od 1 minuty do 2 tygodni (domyślnie 1 tydzień). Po upływie tego czasu rekord jest automatycznie usuwany. Dlatego wszelkie informacje w naszej bazie danych zostaną usunięte wkrótce po jej utworzeniu .
- Przechowujemy tylko logi serwera WWW z ostatnich 24 godzin . Wszelkie informacje IP przechowywane w bazie danych są bezpiecznie zaszyfrowane, co uniemożliwia wyodrębnienie oryginalnego adresu IP.
- Cały kod zasilający tę usługę jest open source i dostępny do wglądu. Możesz łatwo zobaczyć kod, który uruchamia szyfrowanie - który jest celowo krótki, zwięzły i skomentowany.
- Podjęto szereg technicznych środków ostrożności w celu wzmocnienia bezpieczeństwa — niektóre z nich obejmują:
- Cała ta strona internetowa inna niż /api jest statyczna i nie obsługuje kodu serwera na stronach (np. PHP/JSP/ASP/itd.)
- Web Crypto API , który jest częścią przeglądarki, służy do szyfrowania całej zawartości wiadomości.
- TLS służy do szyfrowania komunikacji między Twoją przeglądarką a naszymi serwerami. Pomaga zapewnić, że kod nie może zostać przechwycony ani zmodyfikowany podczas przesyłania. TLS 1.3 jest obsługiwany, ale obsługujemy również TLS 1.2 dla starszych urządzeń. Starsze wersje TLS są wyłączone, ponieważ nie są tak bezpieczne.
- Dzienniki Przejrzystości certyfikatów są monitorowane pod kątem nieprawidłowości w wystawianiu certyfikatów. Dodatkowo publikujemy zasady autoryzacji urzędu certyfikacji (CAA), aby zmniejszyć ryzyko niezamierzonego lub złośliwego wystawienia certyfikatu.
- Używamy HTTP Strict Transport Security (HSTS), aby zapewnić, że przeglądarki zawsze komunikują się z naszymi serwerami za pomocą protokołu TLS. Ponadto uwzględniamy nasze domeny na listach wstępnie załadowanych .
- W celu zapobiegania atakom Cross Site Scripting (XSS) egzekwowana jest ścisła polityka bezpieczeństwa treści .
- Za pomocą Cross-Origin Policy zasobów , a Cross-Origin Policy embedder oraz Cross-Origin Policy Opener , zabraniamy przekrój kod pochodzenia, aby pomóc w łagodzeniu przed atakami spekulacyjnymi side-kanałowych jak Spectre i Meltdown. Zapewnia to również ochronę przed potencjalnie złośliwymi żądaniami z innych źródeł, izolując kontekst przeglądania wyłącznie do dokumentów tego samego pochodzenia.
- Stosujemy Politykę uprawnień, aby uniemożliwić przeglądarce ładowanie zasobów, które mogłyby narazić Twoją prywatność, takich jak lokalizacja, kamera internetowa, mikrofon itp.
- DNSSEC jest używany we wszystkich naszych domenach, aby pomóc w łagodzeniu ataków MITM opartych na DNS.
- Podejmujemy szereg środków ostrożności, aby zabezpieczyć serwer.
- Nie jest ładowany żaden kod innej firmy (np. jQuery) i bardzo niewiele zasobów jest ładowanych (sprawdź i otwórz kartę Sieć w Dev Tools) - to minimalizuje nakład pracy wymagany do audytu. Jedynym wyjątkiem jest sytuacja, gdy wymagana jest CAPTCHA, która ładuje kod innej firmy z hCaptcha . Jednak kod hCaptcha ładuje się pod własnym adresem URL wewnątrz własnych reguł CSP i nie ma dostępu do niczego, co ma związek z wiadomością.
- W celu ochrony przed atakami MITM dostępne są rozszerzenia przeglądarki .
Dlaczego otrzymałem tutaj link z opcją odszyfrowania wiadomości?
Przepraszamy za błędy w tym tłumaczeniu . Ta usługa po prostu przekazuje zaszyfrowaną wiadomość z jednego punktu do drugiego, a Ty jesteś odbiorcą. Wiadomość zostanie wkrótce usunięta. Operatorzy tej usługi nie mają możliwości zapoznania się z treścią wiadomości. Zwykle ktoś korzysta z tej usługi, gdy nie chce, aby treść wiadomości pozostawała w różnych bazach danych/urządzeniach/usługach/plikach/itd. jak to zwykle bywa podczas wysyłania e-maila/wiadomości błyskawicznej/tekstu/itp. Jeśli zdecydujesz się odszyfrować, pamiętaj o następujących kwestiach:
- Jest prawdopodobne, że wiadomość zostanie usunięta natychmiast po wysłaniu jej na urządzenie w celu odszyfrowania. Oznacza to, że po kliknięciu przycisku w celu odszyfrowania wiadomości nie mamy już kopii do ponownego wysłania później.
- Systematycznie usuwamy wszystkie otrzymane informacje. Wiadomości zostaną usunięte w dowolnym miejscu od jednej minuty do dwóch tygodni po ich utworzeniu — niezależnie od tego, czy wiadomość zostanie kiedykolwiek odszyfrowana. Innymi słowy, jeśli chcesz przeczytać wiadomość, nie czekaj zbyt długo z jej odszyfrowaniem.
- Nadawca prawdopodobnie uważa, że z treścią wiadomości należy obchodzić się ostrożnie. Mogli nawet zasygnalizować, że nie życzą sobie wykonywania kopii. Proszę uszanuj ich życzenia.
- Jeśli zostaniesz poproszony o podanie hasła w celu odszyfrowania wiadomości, nie zamykaj okna/karty przeglądarki. Zgodnie z pierwszym podpunktem na tej liście, prawdopodobnie nie możemy później wysłać kolejnej kopii. Po prostu pozostaw otwarte okno/kartę przeglądarki, aż będziesz mógł wprowadzić hasło. Jeśli wprowadzisz nieprawidłowe hasło, zostaniesz ponownie poproszony. Hasło należy wprowadzić dokładnie. Pamiętaj, że aby dostosować się do różnych języków i wymagań dotyczących haseł, akceptujemy wiele różnych znaków w hasłach.
Usuwasz wszystko, co zostało przesłane do tej witryny?
Zgodnie z naszym logo kosza na śmieci... wszystko zostaje usunięte wkrótce po jego otrzymaniu. Usuwanie wszystkiego jest zautomatyzowane - jest zapisywane na serwerze. Pomyśl o tym w ten sposób – przesyłane są dwie klasy informacji:
- Zaszyfrowane wiadomości, dla których nie mamy możliwości odszyfrowania zawartości
- Inne informacje związane z przesyłaniem czegokolwiek w sieci (tj. Twój adres IP itp.)
- Jak długo powinniśmy przechowywać wiadomość, jeśli nikt jej nie pobierze (od 1 minuty do 2 tygodni - domyślnie 1 tydzień).
- Ile razy wiadomość jest pobierana (od 1 do 100 razy - domyślnie 1 raz)
Dlaczego warto korzystać z tej usługi?
Ta usługa jest narzędziem, które sprawia, że wysyłane/otrzymywane przez Ciebie wiadomości są mniej trwałe. Większość tego, co komunikujesz w Internecie (czaty, SMS-y, e-maile itp.) jest przechowywana i rzadko usuwana. Często, gdy coś usuniesz, nie jest to faktycznie usuwane, ale raczej oznaczane jako usunięte i nie jest już wyświetlane. Twoja zbiorcza komunikacja gromadzi się rok po roku w bazach danych i na urządzeniach, nad którymi nie masz kontroli. Nieuniknione jest, że jedna lub więcej organizacji/osób/urządzeń przechowujących Twoją komunikację zostanie zhakowana, a Twoje informacje zostaną ujawnione. Ten problem jest tak powszechny, że istnieje obecnie wiele witryn internetowych, które śledzą organizacje, które zostały naruszone i ujawniły dane użytkowników. Pełne szyfrowanie wiadomości tymczasowych to proste rozwiązanie, dzięki któremu część komunikacji będzie mniej trwała. Każda wiadomość przesłana do tej witryny ma czas życia od 1 minuty do 2 tygodni - po upływie tego czasu wiadomość jest usuwana. Ponadto domyślnym ustawieniem jest usuwanie każdej wiadomości po pobraniu jej przez odbiorcę. Ponadto wszystkie wiadomości są szyfrowane z Twojego urządzenia aż do urządzenia odbiorcy. Głównym celem korzystania z szyfrowania typu end-to-end jest usunięcie naszej możliwości odczytywania wszelkich przesłanych wiadomości, a tym samym usunięcie niektórych wymagań dotyczących zaufania. Efekt końcowy jest taki, że wysłanie zaszyfrowanej wiadomości za pomocą prostego łącza jest teraz łatwe. Ta wiadomość jest usuwana wkrótce po wysłaniu lub po pobraniu. Nie musisz instalować/konfigurować specjalnego oprogramowania. Nie musisz zakładać konta ani podawać żadnych danych osobowych. Odbiorca nie musi znajdować się w Twoich kontaktach ani nawet wiedzieć o tej usłudze - jedyny wymóg, aby mógł kliknąć w link.
Czy to jest usługa przesyłania wiadomości?
Nie. Ta usługa została zaprojektowana jako uzupełnienie istniejących usług przesyłania wiadomości, takich jak komunikatory internetowe/e-mail/tekst/itp. poprzez dodanie możliwości zapobiegania przechowywaniu wysłanych wiadomości przez długi czas. Nie dostarczamy wygenerowanego linku do odbiorcy .
Jakie są zamierzone przypadki użycia?
Jakie są więc scenariusze, w których warto korzystać z tej usługi? Chociaż każdy ma inne potrzeby i wymagania, jeśli chodzi o ich prywatność i bezpieczeństwo, osobiście uznałem następujące scenariusze za odpowiednie przypadki użycia:
- Komunikujesz się za pośrednictwem lokalnego forum internetowego o trasach kolarstwa górskiego w okolicy i czasami spotykasz się z ludźmi na forum, aby wspólnie sprawdzić nowe trasy. Ktoś z forum chce Cię odebrać z Twojego miejsca, aby w ten weekend dowieźć się na szlak. Nie chcesz, aby Twój adres domowy był na zawsze w bazie danych forum. Po prostu wyślij adres za pośrednictwem tej usługi - link znajduje się w bazie danych forum witryny, ale po jego przeczytaniu przez odbiorcę wiadomość/adres jest usuwany.
- Musisz wysłać bratu swój login Netflix, ponieważ twoja siostrzenica doprowadza go do szaleństwa z powodu blokady COVID, a on nadal nie ma własnego konta. Nie przejmujesz się zbytnio tym loginem, ale twój brat jest szczególnie zły w tym, co po prostu nazywam „higieną cyfrową” i miał wiele prób z uszkodzonymi loginami i złośliwym oprogramowaniem. Kolejne próby nakłonienia go do uporządkowania swojego działania, a nawet zainstalowania dla niego bezpiecznych wiadomości, nie powiodły się. Po prostu wysłanie go za pomocą wiadomości tekstowej jest prawdopodobnie najlepszą opcją (niestety), ale nie czujesz się komfortowo, gdy ten login znajduje się w historii jego wiadomości z powodu przeszłych doświadczeń. Korzystanie z tej usługi w celu wysłania loginu za pomocą linku w wiadomości tekstowej zapewnia, że logowanie nie zostanie na zawsze zawieszone w historii czatu.
- Czasami pracujesz w biurze, które ma wielu współlokatorów, którzy przychodzą i odchodzą o każdej porze. Dostępna jest sieć Wi-Fi, ale hasło jest zmieniane co tydzień, ponieważ pojawiły się problemy z nadużyciami. Wielu najemców wysyła e-maile/smsy z prośbą o hasło do Wi-Fi, mimo że znajduje się w recepcji, ponieważ większość z nich nie wchodzi głównym wejściem. Korzystając z tej usługi, kierownik biura może wysłać hasło do Wi-Fi za pomocą linku w wiadomości e-mail/sms-odpowiedzi, która nie pozwala na pozostawienie hasła, a także umożliwia odbiorcy natychmiastowe skopiowanie hasła za pomocą przycisku kopiowania, który jest mniej niezdarny na urządzeniach mobilnych.
- Jeden z Twoich dostawców usług hostingowych pyta Cię o szczegóły dotyczące serwera, który zgłoszony przez Ciebie wykazuje oznaki uszkodzenia dysku twardego. Niektóre informacje, których potrzebują, są nieco wrażliwe - nie chcesz, aby były zawsze w systemie biletowym innej firmy, z którego korzystają. Korzystając z tej usługi, możesz wysyłać informacje do techników pomocy technicznej bez konieczności ich przebywania w systemie biletowym. Ponieważ wielu techników może potrzebować wielokrotnego odwoływania się do informacji, ustaw odczyty do życia większe niż 1 (tj. być może 20), aby wiadomość nie została usunięta przy pierwszym pobraniu.
- Musisz wysłać prywatną wiadomość do innego użytkownika Reddit, aby poinformować go o swoim numerze telefonu, aby mógł do Ciebie zadzwonić. Reddit, podobnie jak wielu innych dostawców, ujawnił informacje o użytkownikach w przeszłości i nie chcesz, aby Twój numer telefonu znajdował się w bazie danych Reddita przez lata, aż do następnego wycieku. Po prostu wyślij swój numer telefonu za pośrednictwem tej usługi.
- Twój współmałżonek wysyła ci wiadomość, gdy jesteś w pracy, prosząc o zalogowanie się do narzędzia, ponieważ jej przyjaciółka właśnie wypróbowała nowy program, który zaoszczędził jej pieniądze na rachunku za prąd, a ona chce to sprawdzić. Przypominasz jej o wspólnym rodzinnym menedżerze haseł, ale chce tylko, abyś wysłał login. OMEMO służy do komunikacji błyskawicznej ze współmałżonkiem, dlatego masz pewność, że przesyłanie wiadomości jest bezpieczne; jednak sama historia czatu jest przechowywana w postaci niezaszyfrowanej. Twój współmałżonek nie zawsze jest ostrożny w kwestii pobierania plików, e-maili itp., a rachunki za media są nieco wrażliwe, ponieważ mogą zostać wykorzystane do kradzieży tożsamości w celu udowodnienia miejsca zamieszkania. Możesz przesłać jej dane logowania za pomocą tej usługi, aby uniknąć przechowywania kopii na jej komputerze.
Do czego ta usługa nie powinna być używana?
Ta usługa nie powinna być używana do bardzo poufnych informacji ze wszystkich powodów wyjaśnionych w tym FAQ. Poniżej kilka przykładów tego, czego nie robić:
- Nie używaj tej usługi w celu „bezpieczniejszego” przesyłania nieodpowiednich wiadomości. Ponieważ domyślnym ustawieniem jest uwzględnienie w adresie URL hasła umożliwiającego odczytanie wiadomości, każda osoba mająca łącze może ją przeczytać. Jak wspomniano powyżej, wszelkie problemy związane z bezpieczeństwem/prywatnością związane z wybranym transportem (tj. tekstem) są dziedziczone podczas korzystania z tego narzędzia. Tak więc, na przykład, jeśli nigdy nie rozważałbyś użycia poczty elektronicznej do wysyłania określonych informacji ze względu na ich wrażliwy charakter, nie powinieneś korzystać z tej usługi w celu „zabezpieczenia” tej części wiadomości e-mail.
- Nie korzystaj z tej usługi, aby mieć pewność, że wiadomość nie zostanie skopiowana. To, że usuwamy naszą kopię zaszyfrowanej wiadomości natychmiast po jej pobraniu i utrudniamy jej skopiowanie, nie oznacza, że wiadomości nie można skopiować. Co się stanie, jeśli odbiorca zrobi zdjęcie swojego ekranu? A jeśli po prostu napiszą wiadomość? Docelowo, jeśli odbiorca może przeczytać wiadomość – można zrobić kopię.
- Nie korzystaj z tej usługi, aby upewnić się, że wiadomość nie może być śledzona z powrotem do Ciebie. Ta usługa jest zależna od innego dostawcy transportu wiadomości (tj. poczty e-mail, czatu itp.), aby przesyłać wiadomość z jednego punktu do drugiego. Zastosowany transport wiadomości może bardzo dobrze prześledzić wiadomość z powrotem do Ciebie.
- Nie używaj tej usługi do wysyłania czegokolwiek, co chcesz zablokować. To, że sama wiadomość została usunięta, nie oznacza, że link prowadzący do usuniętej wiadomości zostanie usunięty. Jeśli wyślesz wiadomość e-mail do znajomego, a część tego e-maila zawiera łącze do wiadomości z tej usługi, przypadkowy czytelnik będzie wiedział, że w wiadomości jest coś innego. Nawet jeśli wiadomość, do której odwołuje się link, już dawno zniknęła - jasne jest, że wysłano coś innego i że wysłałeś to do znajomego.
Dlaczego po prostu nie użyć PGP/Signal/OMEMO/Matrix/itd.?
Jeśli znasz osobę, do której chcesz wysyłać bezpieczne wiadomości tymczasowe, wysyłaj je często, oczekujesz interfejsu podobnego do czatu i/lub możesz oczekiwać, że odbiorca będzie miał wymagane oprogramowanie i umie z niego korzystać, ta witryna prawdopodobnie nie jest najlepsze rozwiązanie. Istnieją świetne opcje, które są otwarte, obsługują E2EE, a nie internetowe, a nawet takie jak Signal, które również obsługują wiadomości tymczasowe. Osobiście korzystam z prywatnego serwera XMMP i OMEMO, aby rozmawiać z bliskimi przyjaciółmi i rodziną. Korzystanie z tej strony może być optymalne tylko wtedy, gdy nie wiesz, z jakiego oprogramowania korzysta odbiorca, nie znasz jego numeru telefonu/obsługi kontaktu, nie znasz jego umiejętności technicznych (ale zakładasz, że może kliknąć link), lub po prostu wolisz trzymać wiadomość, którą wysyłasz poza podstawowym transportem komunikacyjnym.
Jakie są wymagania?
Wymagana jest nowoczesna i aktualna przeglądarka internetowa, która prawidłowo implementuje standardy, w tym Web Crypto API. Przykłady obejmują: Chrome, Firefox, Edge i Safari (około 2020 r. lub później).
Czy odbiorca może wykonać kopię wiadomości?
Tak. Mimo że wiadomość może zostać usunięta po pobraniu, odbiorca nadal może ją wyświetlić. Za każdym razem, gdy odbiorca może w pełni zapoznać się z wiadomością, można wykonać kopię – dotyczy to całej komunikacji. Istnieje możliwość utrudnienia odbiorcy wykonania kopii. W tym przypadku realizowane są trzy utrudnienia kopiowania:
- Przycisk Kopiuj został usunięty. Ten przycisk domyślnie umożliwia odbiorcy skopiowanie całej wiadomości do schowka.
- Przycisk Pobierz został usunięty. Ten przycisk domyślnie umożliwia odbiorcy pobranie wiadomości jako pliku tekstowego.
- Możliwość zaznaczania tekstu w polu tekstowym wiadomości została usunięta.
Czy zbierane są jakiekolwiek dane osobowe?
Nie obsługujemy kont użytkowników (tj. nazwy użytkownika/hasła). Nie zbieramy żadnych informacji, które mogą Cię zidentyfikować (np. imię i nazwisko/adres/e-mail/telefon). Możliwe, że w wysyłanej wiadomości mogą znajdować się niektóre dane osobowe, ale są one zaszyfrowane i nie mamy możliwości ich odczytania. Zapoznaj się z naszą polityką prywatności, aby uzyskać szczegółowe informacje.
Jakie informacje są rejestrowane?
Nasz serwer sieciowy przechowuje do 24 godzin wspólnego formatu dziennika wszystkich działań w sieci. Obejmuje to rejestrowanie pełnego adresu IP klientów HTTP. Po 24 godzinach te zarejestrowane informacje są automatycznie usuwane. Wszystkie żądania wysyłane do /api są POSTed, co oznacza, że żadne informacje dotyczące wiadomości nie są nigdy rejestrowane przez serwer sieciowy. Dodatkowo wszelkie informacje zapisane w bazie danych są skutecznie rejestrowane. Wszystkie wpisy w bazie danych, w tym zanonimizowane i zaszyfrowane adresy IP, mają czas wygaśnięcia (TTL), po którym są automatycznie usuwane. Czas wygaśnięcia TTL waha się od 1 minuty do 2 tygodni.
Co robisz, aby zabezpieczyć serwery?
Bezpieczeństwo serwera jest oczywistym problemem. Aby zapewnić bezpieczeństwo, skupiamy się na dwóch głównych obszarach:
- Po pierwsze, przechowujemy jak najmniej przez możliwie najkrótszy czas, aby w przypadku włamania do serwera żaden wyciek informacji nie zaszkodził naszym użytkownikom. Wszystkie wiadomości przechowywane w bazie danych są szyfrowane bez możliwości ich odszyfrowania. Nie ma przechowywanych informacji łączących jakąkolwiek wiadomość z żadnym z naszych użytkowników, ponieważ nie gromadzimy żadnych danych osobowych od naszych użytkowników. Wszystkie rekordy w bazie mają czas ważności (TTL) od 1 minuty do 2 tygodni - po tym czasie rekord jest automatycznie usuwany. Dlatego zdecydowana większość informacji, które kiedykolwiek znajdowały się w bazie, została już dawno usunięta.
- Podejmujemy szereg środków, aby zapobiec kompromitacji i powstrzymać wszelkie kompromitacje, które się pojawią:
- Serwer sieciowy, nginx , jest uruchamiany w izolowanym kontenerze jako nieuprzywilejowany użytkownik bez dostępu do zapisu do czegokolwiek innego niż logi. Kontener działa we własnym kontekście SELinux, dodatkowo zapobiegając wszelkim zmianom systemu plików lub łatwej ucieczce z kontenera. Brak wsparcia dla PHP/ASP/JSP/etc. - po prostu obsługujące zasoby statyczne.
- Kod uruchamiający /api jest napisany w Go, co powinno sprawić, że będzie on dość odporny na luki w zabezpieczeniach przepełnienia bufora (powszechny wektor ataku). Proces Go działa również w izolowanym kontenerze jako użytkownik nieuprzywilejowany bez dostępu do zapisu do czegokolwiek innego niż baza danych. Kontener działa we własnym kontekście SELinux, dodatkowo zapobiegając wszelkim zmianom systemu plików lub łatwej ucieczce z kontenera. Baza danych badgerdb jest częścią procesu Go (brak zależności/procesu zewnętrznej bazy danych).
- Głównym niebezpieczeństwem włamania się na serwer jest to, że atakujący może modyfikować pliki w sposób zagrażający prywatności/bezpieczeństwu naszych użytkowników. Dedykowany proces monitoruje wszystkie pliki witryny internetowej pod kątem wszelkich zmian i natychmiast ostrzega nas w przypadku jakiejkolwiek zmiany.
- Cały dostęp administracyjny jest chroniony i ograniczony do autoryzowanych sieci.
Jakie zagrożenia bezpieczeństwa występują podczas korzystania z tej witryny?
Zanim szczegółowo omówię niektóre z tych zagrożeń, myślę, że na wpół krótka analogia może pomóc w podsumowaniu zagrożeń związanych z korzystaniem z komunikacji internetowej. Wyobraź sobie, że każdy system jest tak bezpieczny, jak najsłabsze ogniwo w łańcuchu. Teraz wyobraź sobie scenariusz, w którym dwie osoby znajdują się w zapieczętowanym pomieszczeniu bez możliwości zobaczenia, usłyszenia lub nagrania czegokolwiek, co robią. Jeden przekaże wiadomość drugiemu, który po przeczytaniu wiadomości spali ją. Jeśli ktoś spoza tego pokoju chce otrzymać wiadomość, która już została przekazana, będzie to trudne. Jakie jest najsłabsze ogniwo do uzyskania przekazu? Nie ma zbyt wielu linków do wyboru - to dość krótki łańcuch. A teraz wyobraź sobie, że kiedy wysyłasz wiadomość w Internecie, że w łańcuchu jest co najmniej milion ogniw – wiele z nich jest słabych – wiele z nich jest całkowicie poza twoją kontrolą – i taka jest rzeczywistość.
Korzystanie z szyfrowania może znacznie pomóc w rozwiązaniu problemu z ponad milionem łączy i łatwo jest skusić się na myślenie, że dobrze zaprojektowane systemy E2EE oferują kompleksowe rozwiązanie. Jednak takie myślenie może wpędzić Cię w kłopoty, ponieważ atakujący zwykle będzie po prostu szukał słabszych ogniw w systemie. Na przykład prawdopodobnie znacznie łatwiej jest przejąć telefon lub komputer i skonfigurować rejestrator wejściowy, aby po prostu odczytywał wszystko, co piszesz, niż łamać zaszyfrowane wiadomości przez sieć. Najważniejsze jest to, że gdybym miał za zadanie przekazać sekret o żywotnym/krytycznym znaczeniu, używałbym komunikacji elektronicznej tylko jako metody ostateczności.
Tak więc istnieje ryzyko związane z bezpieczeństwem przy korzystaniu z jakiejkolwiek komunikacji, ale nadal używasz przeglądarki internetowej do bankowości, kupowania rzeczy, poczty e-mail itp. Jest to akceptowane ryzyko ze względu na uzyskane ogromne udogodnienia. Tak naprawdę pytanie brzmi... jakie zagrożenia bezpieczeństwa są częściowo specyficzne dla tej witryny? Przychodzi mi na myśl kilka:
- Być może największym ryzykiem i najbardziej unikalnym dla tej usługi jest to, że nasi użytkownicy nie będą kierować się rozsądkiem przy rozróżnianiu, co należy wysłać, a co nie . Czasami rozróżnienie między „Czuję się komfortowo wysyłając te informacje pocztą elektroniczną – chciałbym, aby wiadomość e-mail została usunięta po przeczytaniu” a „Nie czuję się komfortowo, wysyłając te informacje pocztą elektroniczną – wiadomość e-mail jest nieodpowiednim transportem” może być dość subtelna.
- Zawsze istnieje zagrożenie, że operatorzy tej witryny są w rzeczywistości złymi aktorami, którzy wabią ludzi do korzystania z usługi w celu uzyskania jakiegoś mrocznego celu końcowego. Natrafiamy na wiarygodnie godny zaufania — wszystko jest łatwe i bezpłatne — zdobądź wiele osób korzystających z usługi — przez cały czas ze złowrogimi zamiarami. Bwhahahaha! Jak możesz nam zaufać?
- Istnieje szansa, że nasz kod zawiera błędy, które wpływają na bezpieczeństwo lub po prostu nie pomyśleliśmy o tym dobrze, a nasze niedociągnięcia narażają teraz naszych użytkowników na niepotrzebne niebezpieczeństwo. Mamy nadzieję, że nie, ale nie możemy tego wykluczyć.
- W przeciwieństwie do technologicznych tytanów (np. Google/Facebook/Whatsapp), którzy mają terabity zaszyfrowanych danych stale przepływających do i z ich ogromnych sieci, gdzie łatwo jest połączyć prywatną komunikację z innym ruchem, samodzielne scentralizowane usługi (np. Signal, Telegram i my) wyróżniają się. Operator sieci, a nawet duża organizacja/rząd może łatwo zauważyć, że adres IP xxxx korzysta z usługi XYZ.
- Chociaż nie jest to specyficzne dla tej witryny, ponieważ można jej użyć przeciwko dowolnej witrynie internetowej, ataki typu man-in-the-middle (MITM) są słusznym problemem .
Co robisz z atakami typu man-in-the-middle (MITM)?
Wszyscy użytkownicy witryn internetowych mogą potencjalnie paść ofiarą ataku MITM - ta witryna nie różni się pod tym względem od wszystkich innych w sieci. Atak MITM ma miejsce, gdy osoba atakująca jest w stanie przechwycić i zmodyfikować komunikację między przeglądarką użytkownika a serwerem sieciowym witryny. Dzięki temu atakujący może modyfikować dowolny kod/treść witryny, podczas gdy użytkownik końcowy nadal wydaje mu się, że jest witryną, do której jest przyzwyczajony. Podejmujemy pewne kroki, aby utrudnić atak MITM:
- HSTS służy do zmuszania przeglądarek do łączenia się tylko przez TLS. Nasz serwer jest skonfigurowany tak, aby ignorować komunikację nie-TLS inną niż przekierowanie. Obsługiwane są tylko TLS 1.2 lub nowsze.
- DNSSEC służy do podpisywania strefy naszej domeny. Może to powstrzymać fałszowanie DNS zaimplementowanych ataków MITM, jeśli użytkownik korzysta z rekursywnego programu rozpoznawania nazw DNSSEC.
- Korzystamy z usługi monitorowania urzędów certyfikacji wydających wszelkie nieautoryzowane certyfikaty TLS odwołujące się do naszej domeny.
- Opublikowaliśmy rozszerzenia przeglądarki obsługujące szyfrowanie wiadomości za pomocą kodu przechowywanego na urządzeniu użytkownika końcowego.
Jakie korzyści oferują rozszerzenia przeglądarki?
Oferujemy rozszerzenia przeglądarki, aby zapewnić dodatkową wygodę i dodatkowe bezpieczeństwo. Po prostu... Rozszerzenia sprawiają, że wysyłanie tymczasowych wiadomości jest szybsze i łatwiejsze. Pewne bezpieczeństwo jest również zapewnione, ponieważ cały kod używany do szyfrowania i przygotowania wiadomości jest przechowywany lokalnie w rozszerzeniu. Ponieważ kod jest przechowywany lokalnie, zapewnia to nadawcy pewną ochronę przed atakami MITM . Warto jednak zauważyć, że chociaż rozszerzenia oferują większą ochronę przed atakiem MITM, który narusza treść wiadomości, atak MITM może być nadal skuteczny (tj. w celu określenia adresu IP nadawcy, jeśli nie używa TOR/VPN/itd.).
Skąd mogę mieć pewność, że wszystko, co zostało przesłane, jest całkowicie zaszyfrowane?
W przeciwieństwie do wielu innych popularnych klientów czatu z szyfrowaniem od końca do końca (E2EE), dość łatwo jest zobaczyć dokładnie, co jest do nas wysyłane po przesłaniu wiadomości. Poniższy samouczek wideo pokazuje, jak potwierdzić, że nie mamy możliwości odszyfrowania wiadomości wysyłanych na serwer.
Ponadto, jeśli się nad tym zastanowisz, dopóki nie jesteśmy jakąś tajną agencją próbującą zbierać poufne wiadomości, nie ma dla nas żadnej korzyści z możliwości odszyfrowywania wiadomości, ponieważ posiadanie tej zdolności tylko stwarza dla nas problemy. Nie chcemy nawet przechowywać wiadomości - jednak dostarczanie ich jest złem koniecznym.Jak działa szyfrowanie typu end-to-end w tej witrynie?
Obecnie używamy szyfrowania symetrycznego (AES-GCM 256bit) z kluczami pochodzącymi z haseł (minimum 150 000 iteracji PBKDF2/SHA-256). Szyfrowanie asymetryczne nie jest używane, ponieważ istnieją wymagania, aby 1) nadawca inicjował komunikację 2) nadawca i odbiorca nie są jednocześnie online oraz 3) brak informacji o odbiorcy i 4) staramy się, aby wszystko było naprawdę proste, a zarządzanie kluczami jest skomplikowane. Standardowy Web Crypto API jest używany do wszystkich funkcji kryptograficznych, w tym RNG. Zasadniczo, oto co się dzieje:
- Użytkownik końcowy wybiera hasło lub jest ono generowane automatycznie
- Wywołanie API jest wykonywane w celu uzyskania wymaganej liczby iteracji PBKDF2/SHA-256 ( ten krok jest wymagany do kontroli spamu )
- Generowana jest 32-bajtowa sól
- Klucz wywodzi się z soli i hasła
- Generowany jest 12-bajtowy wektor inicjujący (IV)
- Wiadomość szyfruje się za pomocą klucza + IV
- Licznik iteracji, sól, IV i zaszyfrowany tekst są wysyłane do serwera (wraz z innymi informacjami, takimi jak TTL, RTL itp.)
- Serwer zwraca losowy identyfikator odnoszący się do wiadomości
- Przeglądarka następnie przedstawia użytkownikowi końcowemu link zawierający zwrócony identyfikator i hasło lub link bez hasła (w takim przypadku odbiorca musi znać i wprowadzić hasło)
- Jeśli hasło jest częścią łącza, znajduje się w hashu adresu URL , a zatem nigdy nie jest wysyłane na serwer, gdy odbiorca wysyła żądanie GET
- Odbiorca jest pytany, czy chce odszyfrować i wyświetlić wiadomość
- Przeglądarka wysyła żądanie określając identyfikator wiadomości
- Jeśli nadawca wymaga wypełnienia CAPTCHA, odbiorca jest kierowany do innego adresu URL, aby udowodnić, że jest człowiekiem (po przejściu jest kierowany z powrotem)
- Serwer wysyła zaszyfrowaną wiadomość i domyślnie usunie wiadomość w tym momencie, jeśli odczyt na żywo (RTL) to jeden
- Odbiorca odszyfruje wiadomość za pomocą hasła (i zostanie poproszony o podanie hasła, jeśli nie znajduje się w adresie URL)
Hasło deszyfrujące może znajdować się w adresie URL?
Tak. To oczywiście wpływa na bezpieczeństwo, ponieważ jeśli metoda użyta do wysłania łącza jest niepewna, wiadomość jest niepewna przez skojarzenie. Wszystkie obejścia mające na celu wyeliminowanie tego problemu wprowadzają dodatkowe kroki i komplikacje, które wpływają na wrażenia użytkownika (tj. przed wysłaniem wiadomości należy skonfigurować rzeczy po obu stronach). Asymetryczny schemat, w którym odbiorca inicjuje żądanie wiadomości i wysyła łącze z żądaniem, może działać z naszym kluczowym wymaganiem „wszystko jest efemeryczne” – może to zostać zaimplementowane. Ostatecznie, jeśli dwie strony będą często wysyłać do siebie wiadomości, istnieją lepsze rozwiązania, zakładając, że obie strony poradzą sobie z tymi rozwiązaniami.
Ale hasło deszyfrujące nie musi znajdować się w adresie URL?
Prawidłowy. Jeśli w linku nie ma hasła deszyfrującego, odbiorca zostanie poproszony o podanie hasła. Jeśli hasło jest bezpiecznie przekazywane odbiorcy (lub on już je zna), zapewnia to ochronę przed przechwyceniem. Wadą jest jednak to, że odbiorca musi znać i poprawnie wpisać hasło. Oto jeden ze sposobów wysłania hasła do odbiorcy, który zapewnia pewną ochronę przed przechwyceniem:
- Zaszyfruj hasło w wiadomości z ustawieniami domyślnymi i wyślij ten link do odbiorcy.
- Gdy odbiorca kliknie łącze i odszyfruje wiadomość, wie, że nikt inny nie uzyskał przed nim hasła, ponieważ wiadomość zawierająca hasło jest usuwana po pobraniu. Jeśli jednak dojdzie do aktywnego ataku MITM lub jeśli Twoje urządzenie lub urządzenie odbiorcy zostało zhakowane, nadal istnieje możliwość, że inna strona może uzyskać hasło.
- Potwierdź u odbiorcy, że pomyślnie uzyskał hasło. Na przykład, jeśli odbiorca poinformuje Cię, że gdy poszedł odzyskać hasło, wiadomość została już usunięta, oznacza to, że ktoś inny uzyskał hasło przed odbiorcą i dlatego hasło zostało naruszone i nie powinno być używane.
- Korzystając z hasła, które odbiorca potwierdził, że posiada, możesz teraz wysłać wiadomość, używając tego samego hasła do szyfrowania - wystarczy udostępnić wersję linku, która nie zawiera hasła.
Ta usługa nie dostarcza linku do odbiorcy?
Zgadza się – generujemy link i pozostawiamy nadawcy jak najlepiej dostarczyć go do odbiorcy. Celem tej usługi jest zapewnienie opcji oferującej mniejszą trwałość w istniejących transportach wiadomości, takich jak e-mail/czat/tekst/itp. Dlatego oczekuje się, że wygenerowany przez nas link, który wskazuje na tymczasową wiadomość, zostanie wysłany za pośrednictwem istniejącego transportu wiadomości. Ma to wpływ na bezpieczeństwo, które użytkownicy powinni zrozumieć. Weźmy jako przykład wiadomość SMS, ponieważ jest to dość niepewna metoda komunikacji. W przypadku korzystania z tej usługi w celu wysłania tymczasowego łącza do wiadomości za pośrednictwem wiadomości tekstowej, jeśli użyjesz domyślnego trybu, w którym hasło jest zawarte w łączu, każda osoba mająca łącze może przeczytać wiadomość i nie jest oferowana ochrona przed przechwyceniem. Ta usługa nadal zapewnia bardziej tymczasową komunikację, co może zwiększyć prywatność i bezpieczeństwo. Dodatkowo możesz zdecydować się na wysłanie linku bez hasła, co zapewni ochronę przed przechwyceniem.
Jak mogę maksymalnie chronić swoją prywatność podczas korzystania z tej usługi?
Jak omówiono w innym miejscu tego FAQ, mimo że robimy już wiele, aby chronić Twoją prywatność i nawet jeśli nie gromadzimy żadnych danych osobowych, niektóre informacje związane z dziennikiem są przesyłane i gromadzone przez nas i innych na podstawie korzystania z przeglądarki internetowej. Istnieje jednak wiele sposobów, aby jeszcze bardziej chronić swoją prywatność. Jednym ze sposobów, który jest darmowy, oparty na oprogramowaniu open source i działa całkiem dobrze, jest użycie przeglądarki Tor . Ta przeglądarka została zaprojektowana, aby chronić Twoją prywatność na wielu poziomach - w tym podczas korzystania z sieci Tor . Nasza witryna jest już dostępna za pośrednictwem sieci cebulowej Tora, co oznacza, że dostęp do naszej witryny za pośrednictwem Tora nie wymaga użycia węzła wyjściowego, co uniemożliwia podsłuchiwanie ruchu węzła wyjściowego . Pamiętaj jednak, że nawet w tym scenariuszu Twój dostawca usług internetowych może zobaczyć, że używasz Tora – choć nie po to. Możesz nawet połączyć się z VPN, a następnie uruchomić przeglądarkę Tor, aby uzyskać dwie warstwy anonimowości; pamiętaj jednak, że Twój dostawca usług internetowych nadal widzi, że korzystasz z VPN w tym scenariuszu – choć nie po to. Jeśli nie chcesz, aby Twój dostawca usług internetowych wiedział, jakich protokołów używasz, możesz połączyć się z dużą publiczną siecią Wi-Fi, taką jak biblioteka, szkoła itp., a następnie użyć przeglądarki Tor.
A jeśli nie ufam Stanom Zjednoczonym?
Nasze serwery znajdują się w Stanach Zjednoczonych. Dodatkowo nasz dostawca CDN, Cloudflare, jest firmą z siedzibą w Stanach Zjednoczonych. Staraliśmy się wyeliminować potrzebę zaufania nam lub krajowi, w którym znajdują się nasze serwery, ponieważ nie gromadzimy danych osobowych, nie możemy odszyfrować żadnych wiadomości, a wszystko jest usuwane wkrótce po ich otrzymaniu. Możemy jednak zrozumieć pewną nieufność, ponieważ jest ona oparta na Internecie, a zwłaszcza jeśli mieszkasz w niektórych krajach. Mamy plany, aby zaoferować opcje w Islandii i Szwajcarii dla osób, które mają trudności z zaufaniem do USA. Daj nam znać, jeśli dotyczy to Ciebie, ponieważ nie będziemy zmotywowani do oferowania alternatyw, chyba że istnieje realne zapotrzebowanie.
Co robisz, aby zapobiec spamowi?
Za każdym razem, gdy pozwalasz komuś opublikować wiadomość, którą można przekazać za pośrednictwem linku, zapraszasz spamerów. Ograniczenie tego problemu nie jest całkowicie proste. Nie chcemy ładować zewnętrznego CAPTCHA w ramach procesu wysyłania wiadomości z kilku powodów:
- Nienawidzimy CAPTCHA - wymagają czasu i są denerwujące
- Ładowanie javascriptu innej firmy może być inwazyjne dla prywatności i bezpieczeństwa
- Uruchamianie własnego CAPTCHA oznacza, że zapisujemy się na niekończącą się grę w whack-a-mole
- W końcu ludzie mogą chcieć mieć możliwość interakcji z tą usługą za pośrednictwem interfejsu API
- Zwiększenie liczby wymaganych iteracji PBKDF2/SHA-256
Wszystkie wiadomości można pobrać tylko niewielką liczbę razy - nieatrakcyjny atrybut dla spamerów, ponieważ polegają na wysyłaniu wielu wiadomości. Ponieważ spamer musiałby utworzyć wiele wiadomości w ramach dowolnej kampanii spamowej – zdecydowaliśmy się uczynić to zadanie tak kosztownym obliczeniowo, aby nadużywanie tej usługi do spamowania było nieatrakcyjnym przedsięwzięciem. Odbywa się to poprzez śledzenie sieci publikujących wiadomości - mierzone pod względem całkowitej liczby możliwych pobrań. Same informacje o sieci są bezpiecznie zaszyfrowane, dzięki czemu nie możemy wywnioskować prawdziwej sieci na podstawie skrótu. Ponieważ dana sieć publikuje więcej wiadomości, zwiększamy liczbę iteracji PBKDF2/SHA-256 wymaganych do opublikowania następnej wiadomości. To bardzo szybko powoduje, że do opublikowania pojedynczej wiadomości potrzeba dużo czasu procesora. Mamy nadzieję, że ta metoda będzie wystarczająca do ograniczenia nadużywania spamu, a jednocześnie nie wpłynie na prawdziwych użytkowników. - Zbieraj raporty o spamie od użytkowników, gdy pobierają wiadomość
Gdy użytkownik pobierze wiadomość, tuż pod wiadomością znajduje się przycisk „Zgłoś spam”. Jeśli wiadomość jest spamem, miejmy nadzieję, że niektóre z nich potrwają 3 sekundy wymagane do kliknięcia tego przycisku. Gdy otrzymujemy raport o spamie, ostrzega nas, a także wpływa na wymagane iteracje PBKDF2/SHA-256 dla danej sieci.
Dlaczego istnieje opcja wymagania od odbiorcy wypełnienia CAPTCHA?
Chociaż prawdą jest, że nie lubimy CAPTCHA, zdajemy sobie sprawę, że służą one celowi i mają czas i miejsce (przynajmniej na razie). Dzięki temu nadawca może w prosty sposób uzyskać pewność, że odbiorca jest człowiekiem i że zautomatyzowane procesy nie uzyskują dostępu do wiadomości.
Kto prowadzi tę usługę i dlaczego jest bezpłatna?
Jesteśmy tylko parą facetów, którzy czasami borykali się z problemem braku dobrych opcji, które mogłyby pomóc chronić naszą prywatność. Często wynikało to z komunikowania się z przyjaciółmi i członkami rodziny, którzy nie bardzo ostrożnie obchodzili się ze swoimi urządzeniami i informacjami. Czasami zdarzało się to podczas korzystania z forów internetowych, takich jak Reddit, lub korzystania z internetowych systemów wsparcia. Znaleźliśmy kilka internetowych rozwiązań tymczasowych wiadomości, ale żadne nie oferowało E2EE, co oznaczało, że nie mogliśmy im ufać. Dlatego właśnie zbudowaliśmy własne rozwiązanie i postanowiliśmy je rozdać, aby inni mogli z niego skorzystać.
Jak mogę zaufać odpowiedziom na powyższe pytania?
Naprawdę nie powinieneś ufać żadnej stronie internetowej tylko dlatego, że mówi ona o pewnych rzeczach – zazwyczaj dobrym pomysłem jest weryfikacja wszelkich roszczeń. Staraliśmy się usunąć wymóg zaufania do nas tak bardzo, jak to możliwe, stosując szyfrowanie typu end-to-end. Na przykład dość łatwo jest sprawdzić, czy nie możemy odczytać żadnych wiadomości, ponieważ są one zaszyfrowane . Utrzymaliśmy również bardzo prosty kod JavaScript prowadzący tę stronę, aby był łatwy do odczytania i zrozumienia. Uczynienie całego kodu otwartym kodem źródłowym pozwala ludziom zweryfikować, co jest uruchomione; należy jednak pamiętać, że nie ma sposobu, aby naprawdę zweryfikować, co działa na serwerze. Chociaż prawdą jest, że wiele wymagań dotyczących zaufania jest usuwanych za pomocą szyfrowania typu end-to-end, nadal jest to czynnik, który nasi użytkownicy bardzo ważą, decydując się na korzystanie z tej usługi lub nie.