întrebări frecvente

• De ce acest site este prost tradus? ⎃
• Cât de sigur este acest serviciu?
• De ce am primit un link aici cu opțiunea de a decripta un mesaj?
• Ștergeți tot ce a fost trimis pe acest site?
• De ce să folosiți acest serviciu?
• Este acesta un serviciu de mesagerie?
• Care sunt cazurile de utilizare prevăzute?
• Pentru ce nu trebuie utilizat acest serviciu?
• De ce nu folosiți doar PGP / Signal / OMEMO / Matrix / etc.?
• Ce cerințe există?
• Destinatarul poate face o copie a mesajului?
• Sunt colectate informații personale?
• Ce informații sunt înregistrate?
• Ce faci pentru a securiza serverele?
• Ce riscuri de securitate există atunci când utilizați acest site?
• Ce faci cu privire la atacurile om-în-mijloc (MITM)?
• Ce avantaje oferă extensiile de browser?
• Cum pot să știu sigur că orice articol trimis este criptat de la un capăt la altul?
• Cum funcționează criptarea end-to-end pe acest site?
• Parola de decriptare poate fi în URL?
• Dar parola de decriptare nu trebuie să fie în URL?
• Acest serviciu nu livrează linkul către destinatar?
• Cum îmi pot proteja confidențialitatea cât mai mult posibil în timp ce folosesc acest serviciu?
• Ce se întâmplă dacă nu am încredere în Statele Unite?
• Ce faci pentru a preveni spamul?
• De ce există o opțiune pentru a solicita destinatarului să completeze un CAPTCHA?
• Cine rulează acest serviciu și de ce este gratuit?
• Cum pot avea încredere în răspunsurile la întrebările de mai sus?

De ce acest site este prost tradus? ⎃

Ne pare rău, dar autorii actuali vorbesc doar engleză. Avem nevoie de ajutor pentru traducerea acestui proiect în alte limbi. Ca mijloc simplu și ieftin de a pune acest serviciu la dispoziția persoanelor care nu vorbesc engleza, folosim traducerea automată. Rezultatele sunt de obicei acceptabile, dar pot avea ca rezultat formulări ciudate sau chiar informații complet inexacte. Ne puteți ajuta să îmbunătățim experiența pentru toată lumea - trimiteți traducerea corectă .

Cât de sigur este acest serviciu?

Am luat mulți pași pentru a face acest serviciu sigur pentru utilizarea intenționată . Înainte de a parcurge acești pași, este important să înțelegem următoarele:

• Deși nu putem să vă citim mesajul din cauza criptării end-to-end , linkul implicit generat conține parola / cheia de decriptare ; și, prin urmare, oricine deține linkul poate citi mesajul dvs. - inclusiv oricine este capabil să îl intercepteze.
• Acest serviciu este doar un instrument care permite trimiterea de comunicații mai puțin permanente (adică mesaje criptate care sunt șterse la preluare) prin intermediul transporturilor tradiționale care sunt mai permanente (adică e-mail / text / mesagerie instantanee / site-ul web / etc.). Aceasta înseamnă că orice problemă de securitate / confidențialitate inerentă transportului ales (adică e-mail) este moștenită atunci când utilizați acest instrument .
• Există și alte soluții disponibile care oferă o securitate mai bună în funcție de nevoile și mediul dumneavoastră. Principalul avantaj pe care îl oferă acest serviciu în comparație cu altele, este cerințele mult mai mici pentru destinatar (adică au nevoie doar de un browser web și posibilitatea de a da clic pe un link).
• Deși setarea implicită este ștergerea mesajelor la recuperare, nu există nimic care să împiedice destinatarul să facă o copie . Rețineți că acest lucru se aplică tuturor soluțiilor de mesaje temporare - dacă receptorul poate vedea mesajul, acesta poate fi copiat.
• Toate comunicațiile pe Internet vă pot compromite confidențialitatea - faceți schimb de siguranță pentru confort.
• Web-ul este un mediu dificil când vine vorba de securitate din cauza unor probleme fundamentale - acest lucru se aplică tuturor site-urilor web. Cu toate acestea, a fi bazat pe web face ca verificarea afirmației noastre că nu putem citi mesajul dvs. mult mai ușor .
• Acest site web și baza sa de date sunt găzduite în Statele Unite. Folosim Cloudflare, o companie cu sediul în Statele Unite, ca rețea de livrare de conținut (tot traficul web traversează această rețea).

Scopul nostru este să oferim acest serviciu într-un mod care să ofere opțiuni pentru a vă îmbunătăți confidențialitatea și securitatea. Iată câțiva pași pe care i-am luat pentru a vă proteja informațiile:

• Utilizarea serviciului nu necesită nicio informație personală (adică nume / e-mail / telefon / etc.). Nu există niciun sistem de cont (adică autentificare / parolă / etc.); prin urmare, orice încălcare a datelor nu poate divulga aceste informații.
• Tot conținutul mesajului este criptat de la un capăt la altul . Cu alte cuvinte, cheia / parola de decriptare nu ne este trimisă niciodată. Prin urmare, noi, sau oricine altcineva care deține baza de date, nu avem mijloace de decriptare și vizualizare a conținutului mesajului.
• Fiecare intrare din baza noastră de date are un timp de viață cuprins între 1 minut și 2 săptămâni (valorile implicite sunt 1 săptămână). Odată ce acest timp a trecut, înregistrarea este ștearsă automat. Prin urmare, orice informație din baza noastră de date va fi ștearsă la scurt timp după crearea sa .
• Menținem doar ultimele 24 de ore de jurnale de server web . Orice informație IP stocată în baza de date este securizată, ceea ce face imposibilă extragerea IP-ului original.
• Tot codul care alimentează acest serviciu este open source și disponibil pentru revizuire. Puteți vedea cu ușurință codul care rulează criptarea - care este intenționat scurt, concis și comentat.
• O serie de precauții tehnice sunt luate pentru a contribui la consolidarea securității - dintre care unele includ:
  • Acest întreg site web, altul decât / api, este static și nu acceptă codul serverului în pagini (de exemplu, PHP / JSP / ASP / etc.)
  • API-ul Web Crypto , care face parte din browser, este utilizat pentru a cripta tot conținutul mesajului.
  • TLS este utilizat pentru a cripta comunicațiile dintre browserul dvs. și serverele noastre. Ajută la asigurarea faptului că codul nu poate fi interceptat sau modificat în tranzit. TLS 1.3 este acceptat, dar acceptăm și TLS 1.2 pentru dispozitivele mai vechi. Versiunile mai vechi ale TLS sunt dezactivate deoarece nu sunt la fel de sigure.
  • Jurnalele de transparență a certificatelor sunt monitorizate pentru emiterea greșită a certificatului. În plus, publicăm o politică de autorizare a autorității de certificare (CAA) pentru a reduce riscul emiterii neintenționate sau rău intenționate a certificatelor.
  • Utilizăm HTTP Strict Transport Security (HSTS) pentru a ne asigura că browserele comunică întotdeauna cu serverele noastre folosind protocolul TLS. În plus, includem domeniile noastre în listele de preîncărcare .
  • O politică strictă de securitate a conținutului este aplicată pentru a preveni atacurile Cross Site Scripting (XSS) .
  • Prin utilizarea unei politici de resurse încrucișate, a unei încorporări încrucișate și a unei deschideri încrucișate, interzicem codul de origine încrucișată pentru a ajuta la atenuarea atacurilor speculative pe canale laterale precum Spectre și Meltdown. Aceasta oferă, de asemenea, protecție împotriva solicitărilor potențial rău intenționate din alte origini, izolând contextul de navigare exclusiv la documente de aceeași origine.
  • Folosim o politică de permisiuni pentru a preveni browserul de a încărca resurse care ar putea compromite confidențialitatea dvs., cum ar fi locația dvs., camera web, microfonul etc.
  • DNSSEC este utilizat pe toate domeniile noastre pentru a ajuta la atenuarea atacurilor MITM bazate pe DNS.
  • Luăm o serie de măsuri de precauție pentru a securiza serverul.
  • Nu este încărcat niciun cod terță parte (adică jQuery) și sunt încărcate foarte puține resurse (continuați și deschideți fila Rețea în Dev Tools pentru a verifica) - acest lucru minimizează efortul necesar auditului. Singura excepție este dacă este necesar un CAPTCHA - care încarcă cod terță parte din hCaptcha . Cu toate acestea, codul hCaptcha se încarcă pe propriul URL în propriile reguli CSP și nu are în niciun moment acces la nimic care să aibă legătură cu un mesaj.
  • Pentru a proteja împotriva atacurilor MITM , sunt disponibile extensii de browser .

De ce am primit un link aici cu opțiunea de a decripta un mesaj?

Ne cerem scuze dacă există erori în această traducere . Acest serviciu transmite pur și simplu un mesaj criptat dintr-un punct în altul și tu ești destinatarul. Mesajul va fi șters în curând. Operatorii acestui serviciu nu au nicio modalitate de a citi conținutul mesajului. De obicei, cineva folosește acest serviciu atunci când nu dorește ca conținutul unui mesaj să rămână în diferite baze de date / dispozitive / servicii / fișiere / etc. așa cum este obișnuit la trimiterea unui e-mail / mesaj instant / text / etc. Dacă decideți să decriptați, vă rugăm să țineți cont de următoarele:

• Este probabil ca mesajul să fie șters imediat după ce a fost trimis pe dispozitivul dvs. pentru decriptare. Aceasta înseamnă că după ce faceți clic pe buton pentru a decripta mesajul, nu mai avem o copie pentru a vă trimite din nou mai târziu.
• Ștergem sistematic toate informațiile primite. Mesajele vor fi șterse oriunde între un minut și două săptămâni după ce au fost create - indiferent dacă mesajul este vreodată decriptat. Cu alte cuvinte, dacă trebuie să citiți mesajul, nu așteptați prea mult pentru a-l decripta.
• Expeditorul crede probabil că conținutul mesajului trebuie tratat cu grijă. Este posibil să fi indicat chiar că nu vor face copii. Vă rog să le respectați dorințele.
• Dacă vi se solicită o parolă pentru a decripta un mesaj, nu închideți fereastra / fila browserului. Potrivit primului punct din această listă, este posibil să nu mai putem trimite o copie ulterior. Lăsați fereastra / fila browserului deschisă până când puteți introduce parola. Dacă introduceți o parolă incorectă, vi se va solicita din nou. Parola trebuie introdusă cu precizie. Rețineți că, pentru a satisface cerințele de limbi și parole diferite, acceptăm multe caractere diferite în parole.

Ștergeți tot ce a fost trimis pe acest site?

Fidel logo-ului nostru coș de gunoi ... totul este șters la scurt timp după ce a primit-o. Ștergerea tuturor este automatizată - este scrisă în server. Gândiți-vă așa - există două clase de informații trimise:

• Mesaje criptate pentru care nu avem mijloace de decriptare a conținutului
• Alte informații inerente în trimiterea oricărui lucru pe web (adică adresa dvs. IP etc.)

În cazul mesajelor, puteți controla când le ștergem specificând:

• Cât timp ar trebui să păstrăm mesajul dacă nimeni nu îl recuperează (variind de la 1 minut la 2 săptămâni - valorile implicite la 1 săptămână).
• De câte ori este recuperat mesajul (variind de la 1 la 100 de ori - implicit la 1 dată)

În mod implicit, totul despre un mesaj este șters după ce este preluat o dată sau este vechi de o săptămână - oricare se întâmplă mai întâi. Când vine vorba de ștergerea tuturor celorlalte informații inerente în trimiterea oricărui lucru pe web (adică adresa dvs. IP etc.), nu vă oferim niciun control asupra momentului sau modului în care sunt șterse - ștergem toate acestea la fiecare 24 de ore .

De ce să folosiți acest serviciu?

Acest serviciu este un instrument pentru a face ca mesajele pe care le trimiteți / primiți să fie mai puțin permanente. Majoritatea a ceea ce comunicați pe internet (chat-uri, mesaje text, e-mailuri etc.) este stocat și rar șters. Adesea, când ștergeți ceva, nu este șters, ci este marcat ca șters și nu vă mai este afișat. Comunicațiile dvs. cumulate se acumulează an de an în baze de date și pe dispozitive pe care nu aveți control. Inevitabil, una sau mai multe dintre organizațiile / persoanele / dispozitivele care stochează comunicațiile dvs. sunt sparte și informațiile dvs. sunt scurgeri. Această problemă este atât de răspândită încât există acum multe site-uri web care urmăresc organizațiile care au fost compromise și au scurs datele utilizatorilor. Mesajele temporare criptate de la un capăt la altul sunt o soluție simplă pentru a face unele comunicări mai puțin permanente. Fiecare mesaj trimis pe acest site are un timp de viață cuprins între 1 minut și 2 săptămâni - odată ce a trecut acest timp, mesajul este șters. În plus, setarea implicită este să ștergeți orice mesaj odată ce destinatarul l-a recuperat. În plus, toate mesajele sunt criptate de pe dispozitivul dvs. până la dispozitivul destinatarului. Scopul principal în utilizarea criptării end-to-end este de a elimina capacitatea noastră de a citi orice mesaj trimis, eliminând astfel o parte din cerința de încredere. Rezultatul final este că acum este ușor să trimiteți un mesaj criptat printr-un link simplu. Acest mesaj este șters fie la scurt timp după trimitere, fie la recuperare. Nu este nevoie să instalați / configurați software special. Nu trebuie să vă creați un cont sau să furnizați informații personale. Destinatarul nu trebuie să fie în contactele dvs. și nici măcar să știe despre acest serviciu - singura cerință că poate face clic pe un link.

Este acesta un serviciu de mesagerie?

Nu. Acest serviciu este conceput pentru a completa serviciile de mesagerie existente, cum ar fi mesageria instantanee / e-mail / text / etc. prin adăugarea capacității de a împiedica stocarea mult timp a mesajelor trimise. Nu livrăm linkul generat destinatarului .

Care sunt cazurile de utilizare prevăzute?

Deci, care sunt câteva scenarii în care este adecvat să utilizați acest serviciu? Deși toată lumea are nevoi și cerințe diferite în ceea ce privește confidențialitatea și securitatea lor, personal am găsit următoarele scenarii ca cazuri de utilizare adecvate:

• Ați comunicat prin intermediul unui forum web local despre traseele de ciclism montan din zonă și, uneori, vă întâlniți cu oameni pe forum pentru a verifica împreună noi trasee. Cineva de pe forum vrea să te ia la tine pentru a-ți face un carpool într-un traseu în acest weekend. Nu doriți ca adresa dvs. de domiciliu să stea pentru totdeauna în baza de date a acestui forum. Pur și simplu trimiteți adresa prin acest serviciu - linkul este ceea ce se află în baza de date a forumului site-ului web, dar odată ce acesta a fost citit de către destinatar, mesajul / adresa sunt șterse.
• Trebuie să-i trimiți fratelui tău datele de conectare Netflix, deoarece nepoata ta îl înnebunește din cauza blocării COVID și el încă nu are propriul cont. Nu vă pasă prea mult de această conectare, dar fratele dvs. este deosebit de rău în ceea ce voi numi doar „igienă digitală” și a avut multe încercări cu conectări compromise și programe malware. Încercările ulterioare de a-l determina să-și curețe actul și chiar să-i instaleze mesaje sigure nu au reușit să rămână. Pur și simplu trimiterea acestuia printr-un mesaj text este probabil cea mai bună opțiune (din păcate), dar nu vă simțiți confortabil să aveți acel login în istoricul mesajelor sale din cauza experienței anterioare. Folosirea acestui serviciu pentru a trimite datele de conectare printr-un link într-un mesaj text vă permite să nu lăsați datele de conectare să rămână pentru totdeauna în istoricul chat-ului său.
• Uneori lucrezi la un birou care are mulți chiriași în comun care vin și pleacă la orice oră. Există WiFi disponibil pentru utilizare, dar parola este rotită în fiecare săptămână, deoarece au existat probleme cu abuzul. Mulți chiriași trimit prin e-mail / text cerând parola WiFi, chiar dacă se află la recepție, deoarece majoritatea nu intră prin intrarea principală din față. Folosind acest serviciu, managerul de birou poate trimite parola WiFi printr-un link într-un e-mail / răspunsul text nu satisface faptul că nu permite parola să rămână și permite, de asemenea, destinatarului să copieze imediat parola printr-un buton de copiere, care este mai puțin neîndemânatic pe dispozitivele mobile.
• Unul dintre furnizorii dvs. de găzduire vă solicită detalii despre un server despre care ați raportat că prezintă semne ale unui hard disk care pare să funcționeze defectuos. Unele dintre informațiile de care au nevoie sunt puțin sensibile - nu doriți ca acestea să stea pentru totdeauna în sistemul de bilete al treilea partener pe care îl folosesc. Folosind acest serviciu, puteți trimite informațiile către tehnicienii de asistență fără ca acesta să rezideze în sistemul de bilete. Deoarece este posibil ca mai mulți tehnicieni să fie nevoiți să se refere la informații de mai multe ori, setați citirile în direct mai mari de 1 (adică poate 20), astfel încât mesajul să nu fie șters la prima recuperare.
• Trebuie să trimiteți un mesaj privat unui alt utilizator de pe Reddit pentru a-i anunța numărul de telefon, astfel încât să vă poată suna. Reddit, la fel ca mulți alți furnizori, a scurs informații despre utilizatori în trecut și nu doriți ca numărul dvs. de telefon să stea doar în baza de date Reddit ani de zile până la următoarea scurgere. Pur și simplu trimiteți numărul dvs. de telefon prin acest serviciu.
• Soțul / soția dvs. vă trimite mesaje în timp ce sunteți la serviciu, dorind să vă conectați la utilitate, deoarece prietena ei tocmai a încercat un nou program care i-a economisit banii pe factura electrică și vrea să o verifice. Există un manager de parole de familie partajat despre care îi reamintiți, dar vrea doar să trimiteți datele de conectare. OMEMO este utilizat pentru mesageria instantanee cu soțul / soția dvs. și, prin urmare, vă simțiți foarte încrezători că transportul mesajelor este sigur; cu toate acestea, istoricul chat-ului în sine este stocat necriptat. Soțul / soția dvs. nu este întotdeauna precaut cu privire la descărcări, e-mailuri etc., iar facturile de utilități sunt puțin sensibile, deoarece pot fi folosite pentru furtul de identitate pentru a dovedi rezidența. Puteți să îi trimiteți datele de conectare folosind acest serviciu pentru a evita stocarea unei copii pe computerul ei.

Pentru ce nu trebuie utilizat acest serviciu?

Acest serviciu nu ar trebui utilizat pentru informații foarte sensibile din toate motivele explicate în acest FAQ. Mai jos sunt câteva exemple de ceea ce nu trebuie făcut:

• Nu utilizați acest serviciu pentru a face ca un mesaj neadecvat să fie „mai sigur”. Deoarece setarea implicită este de a include parola în adresa URL care poate citi mesajul, oricine are linkul poate citi mesajul. După cum sa menționat mai sus, orice problemă de securitate / confidențialitate inerentă transportului ales (adică un text) este moștenită atunci când utilizați acest instrument. De exemplu, dacă nu ați lua în considerare niciodată utilizarea e-mailului pentru a trimite informații specifice datorită naturii sale sensibile, atunci nu ar trebui să utilizați acest serviciu pentru a „securiza” acea parte a e-mailului.
• Nu utilizați acest serviciu pentru a vă asigura că nu se face nicio copie a mesajului. Doar pentru că ștergem copia mesajului criptat imediat după preluare și îngreunăm copierea, nu înseamnă că mesajul nu poate fi copiat. Ce se întâmplă dacă destinatarul își face o fotografie a ecranului? Ce se întâmplă dacă doar notează mesajul? În cele din urmă, dacă destinatarul poate citi mesajul - se poate face o copie.
• Nu utilizați acest serviciu pentru a vă asigura că un mesaj nu poate fi urmărit înapoi la dvs. Acest serviciu depinde de un alt furnizor de transport de mesaje (adică e-mail, chat etc.) pentru a primi mesajul de la un punct la altul. Transportul mesajului utilizat ar putea foarte bine să-l urmărească.
• Nu utilizați acest serviciu pentru a trimite orice doriți să refuzați trimiterea. Doar pentru că mesajul în sine este șters, nu înseamnă că linkul care indică mesajul șters este șters. Dacă trimiteți un e-mail prietenului dvs. și o parte din e-mail are un link către un mesaj de la acest serviciu, un cititor obișnuit va ști că mai există ceva în mesaj. Chiar dacă mesajul la care se face referire prin link a dispărut de mult - este clar că altceva a fost trimis și că a fost trimis de dvs. prietenului dumneavoastră.

De ce nu folosiți doar PGP / Signal / OMEMO / Matrix / etc.?

Dacă cunoașteți persoana pe care doriți să trimiteți mesaje temporare sigure, trimiteți-le des, vă așteptați la o interfață de tip chat și / sau vă puteți aștepta ca destinatarul să aibă software-ul necesar și să știe cum să îl folosească, probabil că acest site web nu este cea mai bună soluție. Există opțiuni excelente, care sunt open source, acceptă E2EE, nu sunt bazate pe web și chiar unele ca Signal, care acceptă și mesaje temporare. Personal folosesc un server privat XMMP și OMEMO pentru a discuta cu prietenii apropiați și familia. Utilizarea acestui site poate fi optimă numai dacă nu știți ce software rulează destinatarul, nu știți numărul de telefon / contactul, nu știți competența lor tehnică (dar presupuneți că pot face clic pe un link), sau pur și simplu preferați să păstrați mesajul pe care îl trimiteți în afara transportului de comunicare subiacent.

Ce cerințe există?

Este necesar un browser web modern și actualizat care să implementeze în mod corespunzător standarde, inclusiv API-ul Web Crypto. Exemplele includ: Chrome, Firefox, Edge și Safari (circa 2020 sau după).

Destinatarul poate face o copie a mesajului?

Da. Chiar dacă mesajul se poate șterge singur la preluare, destinatarul poate vizualiza mesajul. Ori de câte ori receptorul poate vizualiza complet mesajul, se poate face o copie - acest lucru se aplică tuturor comunicărilor. Există o opțiune pentru a face mai dificil pentru destinatar să facă o copie. În acest caz sunt implementate trei impedimente pentru copiere:

• Butonul Copiere este eliminat. Acest buton implicit permite destinatarului să copieze întregul mesaj în clipboard.
• Butonul Descărcare este eliminat. Acest buton implicit permite destinatarului să descarce mesajul ca fișier text.
• Abilitatea de a selecta textul din caseta de text a mesajului este eliminată.

Cu toate acestea, aceste protecții împotriva copierii sunt slabe, deoarece pot fi ocolite. De asemenea, destinatarul poate face întotdeauna doar o captură de ecran sau o fotografie a mesajului.

Sunt colectate informații personale?

Nu acceptăm conturile de utilizator (adică numele de utilizator / parola). Nu colectăm nicio informație care să vă poată identifica (de exemplu, nume / adresă / e-mail / telefon). Este posibil ca unele informații personale să fie în mesajul pe care îl trimiteți, dar acesta este criptat și nu avem nicio modalitate de a le citi. Vă rugăm să consultați politica noastră de confidențialitate pentru detalii complete.

Ce informații sunt înregistrate?

Serverul nostru web păstrează până la 24 de ore de format de jurnal comun pentru toată activitatea web. Aceasta include înregistrarea adresei IP complete a clienților HTTP. După 24 de ore, aceste informații înregistrate sunt șterse automat. Toate cererile trimise către / api sunt POSTate, ceea ce înseamnă că niciun mesaj specific nu este înregistrat vreodată de serverul web. În plus, orice informație salvată în baza de date este înregistrată efectiv. Toate intrările din baza de date, inclusiv adresele IP anonimizate și hash, au un timp de expirare (TTL) după care sunt șterse automat. Timpii de expirare TTL variază între 1 minut și 2 săptămâni.

Ce faci pentru a securiza serverele?

Securitatea serverului este o preocupare evidentă. Există două domenii principale pe care ne concentrăm pentru a-l păstra în siguranță:

• În primul rând, stocăm cât mai puțin posibil pentru cel mai mic timp posibil, astfel încât, dacă serverul este vreodată compromis, orice scurgere de informații nu ar fi dăunătoare utilizatorilor noștri. Toate mesajele stocate în baza de date sunt criptate fără mijloace de decriptare. Nu există nimic stocat care să conecteze niciun mesaj către niciunul dintre utilizatorii noștri, deoarece nu colectăm informații personale de la utilizatorii noștri. Toate înregistrările din baza de date au un timp de expirare (TTL) cuprins între 1 minut și 2 săptămâni - după ce a trecut acest timp, înregistrarea este ștearsă automat. Prin urmare, marea majoritate a informațiilor care au fost vreodată în baza de date au fost deja șterse cu mult timp în urmă.
• Luăm o serie de măsuri pentru a preveni compromisul și pentru a conține orice compromis care se produce:
  • Serverul web, nginx , este rulat într-un container izolat ca utilizator neprivilegiat fără acces la scriere la altceva decât jurnale. Containerul rulează în contextul propriu SELinux, prevenind în continuare orice modificare a sistemului de fișiere sau evadarea ușoară din container. Nu există suport pentru PHP / ASP / JSP / etc. - doar servirea resurselor statice.
  • Codul care rulează / api este scris în Go, ceea ce ar trebui să-l facă destul de rezistent la tamponarea vulnerabilităților de depășire (un vector de atac comun). Procesul Go rulează, de asemenea, într-un container izolat, ca utilizator neprivediat, fără acces la scriere la altceva decât la baza de date. Containerul rulează în contextul propriu SELinux, prevenind în continuare orice modificare a sistemului de fișiere sau evadarea ușoară din container. Baza de date, badgerdb , face parte din procesul Go (fără dependență / proces de bază de date extern).
  • Principalul pericol al unui compromis al serverului este că atacatorul ar putea modifica fișierele într-un mod care ar compromite confidențialitatea / securitatea utilizatorilor noștri. Un proces dedicat monitorizează toate fișierele site-ului web pentru orice modificare și ne avertizează imediat în cazul în care există vreo modificare.
  • Tot accesul administrativ este protejat și limitat la rețelele autorizate.

Ce riscuri de securitate există atunci când utilizați acest site?

Înainte de a aborda în mod specific unele dintre aceste riscuri, cred că o analogie semi-scurtă ar putea ajuta la rezumarea riscurilor în utilizarea oricărei comunicații pe Internet. Vizualizați că orice sistem este la fel de sigur ca cea mai slabă verigă dintr-un lanț. Acum imaginați-vă un scenariu în care sunt doi oameni într-o cameră închisă, fără mijloace de a vedea, auzi sau înregistra nimic din ceea ce fac. Unul va transmite un mesaj celuilalt pe care la citirea mesajului îl va arde. Dacă cineva din afara acelei camere dorește să obțină mesajul care a fost deja transmis, va fi greu. Care este cea mai slabă verigă pentru a obține mesajul? Nu există atât de multe verigi din care să alegeți - este un lanț destul de scurt. Acum imaginați-vă că atunci când trimiteți un mesaj pe Internet că există cel puțin un milion de verigi în lanț - multe dintre ele slabe - multe dintre ele complet în afara controlului dvs. - și aceasta este realitatea.

Folosirea criptării vă poate ajuta foarte mult cu problema legăturii de milioane de mai sus și este ușor de ademenit în gândirea că sistemele E2EE bine concepute oferă soluția finală. Cu toate acestea, această gândire vă poate pune în dificultate, deoarece un atacator va merge de obicei după legăturile mai slabe din sistem. De exemplu, este probabil mult mai ușor să preiați telefonul sau computerul și să configurați un logger de intrare pentru a citi doar tot ce tastați decât să spargeți mesaje criptate prin cablu. Concluzia este că, dacă aș fi însărcinat să comunic un secret de o importanță vitală / critică, aș folosi comunicările electronice doar ca metodă de ultimă instanță.

Deci, există riscuri de securitate folosind orice comunicații, dar utilizați în continuare un browser web pentru activități bancare, cumpărare de lucruri, e-mail etc. Este un risc acceptat pentru facilitățile imense câștigate. Într-adevăr întrebarea este ... ce riscuri de securitate sunt semi-specifice acestui site? Câțiva îți vin în minte:

• Poate că cel mai mare risc și cel mai unic pentru acest serviciu este acela că utilizatorii noștri nu vor folosi o judecată bună atunci când vor discerne ceea ce este adecvat pentru a trimite și ceea ce nu este potrivit pentru a trimite . Uneori, distincția dintre „Mă simt confortabil prin trimiterea prin e-mail a acestor informații - îmi doresc doar ca e-mailul să fie șters după citire” și „Nu mă simt confortabil prin trimiterea prin e-mail a acestor informații - e-mailul este un transport neadecvat” poate fi destul de subtilă.
• Există întotdeauna amenințarea că operatorii acestui site sunt de fapt actori răi care îi atrag pe oameni să folosească serviciul pentru a obține un scop final întunecat. Ne întâlnim cu un plauzibil de încredere - facem totul ușor și gratuit - obținem o mulțime de oameni care folosesc serviciul - tot timpul cu intenție sinistră. Bwhahahahaha! Cum ai putea avea încredere în noi?
• Există șansa ca codul nostru să aibă erori care să afecteze securitatea sau pur și simplu nu am gândit bine lucrurile și neajunsurile noastre expun acum utilizatorii noștri la un pericol inutil. Sperăm că nu, dar nu putem exclude acest lucru.
• Spre deosebire de titanii tehnologici (adică Google / Facebook / Whatsapp) care au terabite de date criptate care curg în mod constant în și din rețelele lor enorme, unde este ușor ca comunicațiile private să se integreze cu alte servicii de trafic centralizate, de sine stătătoare (de exemplu, Semnal, Telegram și noi) ies în evidență. Este ușor pentru un operator de rețea sau chiar pentru o mare organizație / guvern să vadă că adresa IP xxxx folosește serviciul XYZ.
• Deși nu este cu adevărat specific acestui site, deoarece poate fi utilizat împotriva oricărui site web, atacurile om-în-mijloc (MITM) sunt o preocupare validă .

Ce faci cu privire la atacurile om-în-mijloc (MITM)?

Toți utilizatorii de site-uri web pot fi victima unui atac MITM - acest site nu diferă de toți ceilalți de pe web în acest sens. Un atac MITM este atunci când un atacator poate intercepta și modifica comunicațiile dintre browserul utilizatorului și serverul web al site-ului. Acest lucru permite atacatorului să modifice oricare dintre codurile / conținutul site-ului, în timp ce utilizatorul final pare să fie site-ul cu care este obișnuit. Luăm câteva măsuri pentru a face un atac MITM mai dificil:

• HSTS este folosit pentru a forța browserele să se conecteze numai prin TLS. Serverul nostru este configurat pentru a ignora comunicațiile non-TLS, altele decât pentru redirecționare. Sunt acceptate doar TLS 1.2 sau o versiune ulterioară.
• DNSSEC este utilizat pentru a semna zona domeniului nostru. Acest lucru ar putea opri falsificarea DNS a atacurilor MITM implementate dacă utilizatorul folosește un rezolvator recursiv conștient de DNSSEC.
• Folosim un serviciu pentru a monitoriza autoritățile de certificare care emit orice certificat TLS neautorizat care face referire la domeniul nostru.
• Am publicat extensii de browser pentru a sprijini criptarea mesajelor utilizând codul stocat pe dispozitivul utilizatorului final.

Cu toate acestea, un atac MITM este încă întotdeauna posibil - mai ales dacă atacatorul controlează infrastructura de rețea / cheie publică, așa cum ar fi cazul organizațiilor mari sau puternice sau guvernelor. Oferim extensii de browser care pot ajuta la atenuarea unor riscuri MITM.

Ce avantaje oferă extensiile de browser?

Oferim extensii de browser ca mijloc de a oferi confort suplimentar și securitate suplimentară. Pur și simplu ... Extensiile facilitează trimiterea mesajelor temporare mai rapid și mai ușor. O anumită securitate este, de asemenea, câștigată, deoarece tot codul utilizat pentru a cripta și pregăti un mesaj este stocat local în interiorul extensiei. Deoarece codul este stocat local, acest lucru oferă expeditorului o anumită protecție împotriva atacurilor MITM . Cu toate acestea, merită subliniat faptul că, deși extensiile oferă mai multă protecție împotriva unui atac MITM care compromite conținutul mesajului, un atac MITM ar putea fi în continuare eficient (adică pentru a determina adresa IP a expeditorului dacă nu se utilizează TOR / VPN / etc.).

Cum pot să știu sigur că orice articol trimis este criptat de la un capăt la altul?

Spre deosebire de mulți alți clienți de chat end-to-end criptate (E2EE), este destul de simplu să vedeți exact ce ne este trimis atunci când trimiteți un mesaj. Tutorialul video de mai jos arată cum să confirmăm că nu avem nicio modalitate de a decripta mesajele trimise către server.

De asemenea, dacă vă gândiți la asta, atâta timp cât nu suntem o agenție secretă care încearcă să colecteze mesaje sensibile, nu avem niciun avantaj să putem decripta mesajele, deoarece această capacitate ne creează doar probleme. Nu vrem nici măcar să stocăm mesaje - este totuși un rău necesar pentru a le livra.

Cum funcționează criptarea end-to-end pe acest site?

În acest moment, utilizăm criptare simetrică (AES-GCM 256 biți) cu chei derivate din parole (minimum 150.000 de iterații ale PBKDF2 / SHA-256). Criptarea asimetrică nu este utilizată deoarece există cerințe pentru 1) expeditorul care inițiază comunicarea 2) expeditorul și destinatarul nu sunt online în același timp și 3) nu există informații despre destinatar și 4) încercăm să menținem lucrurile reale simple și gestionarea cheilor este complicat. API-ul Web Crypto standard este utilizat pentru toate funcționalitățile criptografice, inclusiv RNG. Practic, iată ce se întâmplă:

1. Utilizatorul final alege o parolă sau una este generată automat
2. Se face un apel API pentru a obține numărul de iterații PBKDF2 / SHA-256 necesare ( acest pas este necesar pentru controlul spamului )
3. Se generează o sare de 32 de octeți
4. O cheie este derivată din sare și parolă
5. Se generează un vector de inițializare de 12 octeți (IV)
6. Mesajul este criptat folosind cheia + IV
7. Numărul de iterații, sarea, IV și textul cifrat sunt trimise la server (împreună cu alte informații, cum ar fi TTL, RTL etc.)
8. Serverul returnează un ID aleatoriu referitor la mesaj
9. Browserul prezintă apoi utilizatorului final un link care conține ID-ul și parola returnate sau un link fără parolă (caz în care destinatarul trebuie să știe și să introducă parola)
10. Dacă parola face parte din link, aceasta se află în hash URL și, prin urmare, nu este trimisă niciodată la server când destinatarul face cererea GET
11. Destinatarului i se solicită dacă dorește să decripteze și să vizualizeze mesajul
12. Browserul face o cerere specificând ID-ul mesajului
13. Dacă expeditorul necesită completarea CAPTCHA, destinatarul este direcționat către o altă adresă URL pentru a dovedi că este uman (odată ce a trecut, sunt direcționați înapoi)
14. Serverul trimite mesajul criptat și va șterge implicit mesajul în acest moment dacă read-to-live (RTL) este unul
15. Destinatarul va decripta mesajul cu parola (și i se va solicita parola dacă nu se află în adresa URL)

Această configurare este extrem de simplă și oferă criptarea mesajelor de pe dispozitivul expeditorului către dispozitivul destinatarului, dar, desigur, nu are garanția pe care criptarea asimetrică o poate oferi în ceea ce privește cunoașterea numai a unei persoane care deține cheia privată a destinatarului care poate decripta mesajul. Oricine are linkul poate deschide mesajul în scenariul implicit prin care parola face parte din adresa URL - aceasta subliniază importanța utilizării unui transport adecvat pentru link (adică e-mail / chat / text / etc.) - o decizie lăsată expeditor. Putem, dacă există interes, să implementăm și asistență pentru o schemă asimetrică de bază prin care destinatarul inițiază o cerere pentru un mesaj și trimite acel link de solicitare către expeditorul mesajului. Această configurare ar elimina necesitatea de a avea parola în adresa URL, dar elimină și posibilitatea de a iniția expeditorul.

Parola de decriptare poate fi în URL?

Da. Acest lucru are un impact evident asupra securității, deoarece dacă metoda utilizată pentru trimiterea linkului este nesigură, mesajul este nesigur prin asociere. Toate soluțiile pentru a elimina această problemă introduc pași și complexități suplimentare care influențează experiența utilizatorului (adică lucrurile trebuie configurate pe ambele capete înainte de a trimite mesajul). O schemă asimetrică prin care destinatarul inițiază o cerere pentru un mesaj și trimite acea legătură de cerere ar putea funcționa cu cerința noastră cheie „totul este efemer” - aceasta poate fi implementată. În cele din urmă, dacă două părți își vor trimite mesaje în mod frecvent, există soluții mai bune, presupunând că ambele părți se pot descurca folosind aceste soluții.

Dar parola de decriptare nu trebuie să fie în URL?

Corect. Dacă parola de decriptare nu este inclusă în link, atunci destinatarului i se va solicita parola. Dacă parola este comunicată în siguranță destinatarului (sau acesta o știe deja), aceasta oferă protecție împotriva interceptării. Cu toate acestea, dezavantajul este că destinatarul trebuie să cunoască și să introducă corect parola. Iată o modalitate de a trimite parola destinatarului, care oferă o anumită protecție împotriva interceptării:

1. Criptați parola într-un mesaj cu setările implicite și trimiteți acest link destinatarului.
2. Când destinatarul face clic pe link și decriptează mesajul, știu că nimeni altcineva nu a obținut parola înaintea lor, deoarece mesajul care conține parola este șters la recuperare. Cu toate acestea, dacă există un atac MITM activ sau dacă dispozitivul dvs. sau dispozitivul destinatarului a fost compromis, atunci este încă posibil ca o altă parte să poată obține parola.
3. Confirmați cu destinatarul că a obținut cu succes parola. De exemplu, dacă destinatarul vă informează că atunci când s-a dus să recupereze parola, că mesajul fusese deja șters, atunci știți că altcineva a obținut parola înaintea destinatarului și că, prin urmare, parola este compromisă și nu ar trebui folosită.
4. Utilizând parola pe care destinatarul a confirmat-o, puteți trimite acum un mesaj folosind aceeași parolă pentru criptare - partajați doar versiunea linkului care nu conține parola.

Acest serviciu nu livrează linkul către destinatar?

Este corect - generăm linkul și îl lăsăm pe expeditor cum să îl livreze cel mai bine destinatarului. Scopul acestui serviciu este de a oferi o opțiune care oferă o permanență mai mică în transporturile de mesaje existente, cum ar fi e-mail / chat / text / etc. Prin urmare, se așteaptă ca legătura pe care o generăm care indică mesajul temporar să fie trimisă printr-un transport de mesaje existent. Acest lucru are implicații de securitate pe care utilizatorii ar trebui să le înțeleagă. Să luăm un mesaj SMS ca exemplu, deoarece aceasta este o metodă de comunicare destul de nesigură. Când utilizați acest serviciu pentru a trimite un link de mesaj temporar printr-un mesaj text, dacă utilizați modul implicit prin care parola este inclusă în link, oricine are linkul poate citi mesajul și nu este oferită nicio protecție împotriva interceptării. Acest serviciu oferă în continuare o comunicare mai temporară care poate spori confidențialitatea și securitatea. În plus, puteți opta pentru trimiterea linkului fără parolă, iar aceasta va oferi protecție împotriva interceptării.

Cum îmi pot proteja confidențialitatea cât mai mult posibil în timp ce folosesc acest serviciu?

Așa cum s-a discutat în altă parte în acest FAQ, chiar dacă facem deja multe pentru a vă proteja confidențialitatea și chiar dacă nu colectăm nicio informație personală, unele informații legate de jurnal sunt trimise și colectate de noi și de altele în virtutea utilizării dvs. de un browser web. Cu toate acestea, există mai multe moduri de a vă proteja confidențialitatea și mai mult. O modalitate de utilizare gratuită, bazată pe software open source, și care funcționează destul de bine este utilizarea Tor Browser . Acest browser este conceput pentru a vă proteja confidențialitatea pe mai multe niveluri - inclusiv utilizarea rețelei Tor . Site-ul nostru este deja accesibil prin rețeaua de ceapă Tor, ceea ce înseamnă că accesarea site-ului nostru prin Tor nu necesită utilizarea unui nod de ieșire, ceea ce anulează pe cineva care ascultă traficul nodului de ieșire . Cu toate acestea, rețineți că, chiar și în acest scenariu, ISP-ul dvs. poate vedea că utilizați Tor - deși nu pentru ce. Puteți chiar să vă conectați la un VPN și apoi să lansați browserul Tor pentru două straturi de anonimat; cu toate acestea, rețineți că ISP-ul dvs. poate vedea în continuare că utilizați un VPN în acest scenariu - deși nu pentru ce. Dacă nu doriți ca ISP-ul dvs. să știe ce protocoale utilizați, vă puteți conecta la o rețea WiFi publică mare, cum ar fi o bibliotecă, o școală etc. și apoi utilizați browserul Tor.

Ce se întâmplă dacă nu am încredere în Statele Unite?

Serverele noastre sunt situate în Statele Unite. În plus, furnizorul nostru CDN, Cloudflare, este o companie cu sediul în Statele Unite. Am încercat să eliminăm necesitatea de a avea încredere în noi sau în țara în care se află serverele noastre, pur și simplu pentru că nu colectăm informații personale, nu putem decripta niciun mesaj și totul este șters la scurt timp după ce a fost primit. Cu toate acestea, putem înțelege o anumită neîncredere, deoarece este bazată pe web și mai ales dacă locuiți în anumite țări. Avem câteva planuri de a oferi opțiuni în Islanda și Elveția pentru persoanele cărora le este greu să aibă încredere în SUA. Vă rugăm să ne informați dacă acest lucru este valabil pentru dvs., deoarece nu vom fi motivați să oferim alternative decât dacă există o cerere reală.

Ce faci pentru a preveni spamul?

De fiecare dată când permiteți cuiva să posteze un mesaj care poate fi transmis prin intermediul unui link, invitați spammerii. Remedierea acestei probleme nu este complet simplă. Nu dorim să încărcăm un CAPTCHA terță parte ca parte a procesului de trimitere a mesajelor din câteva motive:

• Urăsc CAPTCHA-urile - durează și sunt enervante
• Încărcarea javascriptului terță parte poate fi invazivă pentru confidențialitate și securitate
• Rularea propriului nostru CAPTCHA înseamnă că ne înscriem pentru un joc nesfârșit de whack-a-mole
• În cele din urmă, oamenii ar putea dori să poată interacționa cu acest serviciu prin intermediul API-ului

Am putea ocoli problema API folosind un sistem de chei API, dar atunci trebuie să adunăm informații despre utilizator, pe care nu vrem să le facem. De asemenea, ce este să oprești spamul să obțină o mulțime de chei API? Nu putem examina mesajele pentru a deduce spam-ul lor (ceea ce este foarte problematic în cel mai bun caz), deoarece, în afară de criptarea mesajelor, avem o politică de reducere a conținutului mesajului. Având în vedere aceste cerințe, folosim două metode de prevenire a spamului:

• Creșterea numărului de iterații necesare PBKDF2 / SHA-256
  Toate mesajele pot fi recuperate doar de un număr mic de ori - un atribut neatractiv pentru spammeri, deoarece se bazează pe trimiterea multor mesaje. Deoarece un spammer ar trebui să creeze o mulțime de mesaje pentru o anumită campanie de spam - am optat pentru a face această sarcină atât de costisitoare din punct de vedere computerizat încât să facă din abuzul acestui serviciu pentru spam un efort neplăcut. Acest lucru se realizează ținând evidența rețelelor care postează mesaje - măsurate în termeni de recuperări posibile totale. Informațiile de rețea în sine sunt securizate, astfel încât să nu putem deduce rețeaua reală din hash. Deoarece o anumită rețea postează mai multe mesaje, creștem numărul de iterații PBKDF2 / SHA-256 necesare pentru a posta următorul mesaj. Acest lucru duce rapid la necesitatea multor CPU pentru a posta un singur mesaj. Sperăm că această metodă va fi adecvată pentru a reduce abuzul de spam și, în același timp, pentru a nu afecta utilizatorii reali.
• Adunați rapoarte de spam de la utilizatori atunci când preia un mesaj
  Există un buton „Raportați spam” chiar sub mesaj atunci când un utilizator preia un mesaj. Dacă un mesaj este spam, sperăm că unii vor dura cele 3 secunde necesare pentru a face clic pe butonul respectiv. Când primim un raport de spam, acesta ne avertizează și influențează, de asemenea, impactul asupra iterațiilor necesare PBKDF2 / SHA-256 pentru o anumită rețea.

Dacă știți că spammerii abuzează de acest serviciu, vă rugăm să înregistrați un raport de abuz .

De ce există o opțiune pentru a solicita destinatarului să completeze un CAPTCHA?

Deși este adevărat că nu ne plac CAPTCHA-urile, recunoaștem că ele au un scop și au un timp și un loc (cel puțin deocamdată). Aceasta este o modalitate simplă pentru expeditor de a obține o anumită asigurare că destinatarul este uman și că procesele automatizate nu accesează mesajul.

Cine rulează acest serviciu și de ce este gratuit?

Suntem doar câțiva tipi care uneori s-au confruntat cu situația dificilă de a nu avea opțiuni bune pentru a ne proteja confidențialitatea. Adesea, acest lucru a rezultat din comunicarea cu prietenii și membrii familiei, care nu erau foarte atenți la modul în care își manipulau dispozitivele și informațiile. Alteori, acest lucru a apărut atunci când se utilizează forumuri bazate pe web precum Reddit sau se utilizează sisteme de asistență bazate pe web. Am găsit câteva soluții de mesaje temporare bazate pe web, dar niciuna nu a oferit E2EE ceea ce înseamnă că nu ne putem încrede în ele. Așa că tocmai am construit propria noastră soluție și am decis să o oferim pentru ca alții să poată beneficia de ea.

Cum pot avea încredere în răspunsurile la întrebările de mai sus?

Într-adevăr, nu ar trebui să aveți încredere în niciun site web doar pentru că spune anumite lucruri - este de obicei o idee bună pentru a verifica eventualele revendicări. Am încercat să eliminăm cerința de a avea încredere în noi cât mai mult posibil prin utilizarea criptării end-to-end. De exemplu, este destul de ușor de auditat că nu putem citi niciun mesaj deoarece sunt criptate . De asemenea, am păstrat codul javascript care rulează acest site foarte simplu, astfel încât să fie ușor de citit și de înțeles. Realizarea întregului cod open source permite oamenilor să verifice ce rulează; totuși, rețineți că nu există nicio modalitate de a verifica cu adevărat ce rulează serverul. Deși este adevărat că o mare parte din cerința de încredere este eliminată prin criptarea end-to-end, este totuși un factor pe care utilizatorii noștri îl cântăresc foarte mult atunci când decid să folosească sau nu acest serviciu.