často kladené otázky
- Prečo je táto stránka zle preložená? ⎃
- Aká bezpečná je táto služba?
- Prečo som sem dostal odkaz s možnosťou dešifrovať správu?
- Chcete vymazať všetko, čo ste odoslali na tento web?
- Prečo používať túto službu?
- Je to služba zasielania správ?
- Aké sú zamýšľané prípady použitia?
- Na čo by sa táto služba nemala využívať?
- Prečo nepoužívať iba PGP / Signal / OMEMO / Matrix / atď.?
- Aké požiadavky existujú?
- Môže príjemca vytvoriť kópiu správy?
- Zbierajú sa nejaké osobné informácie?
- Aké informácie sa zaznamenávajú?
- Čo robíte na zabezpečenie serverov?
- Aké bezpečnostné riziká existujú pri používaní tejto stránky?
- Čo robíte s útokmi typu man-in-the-middle (MITM)?
- Aké výhody ponúkajú rozšírenia prehľadávača?
- Ako môžem s istotou vedieť, že všetko, čo ste odoslali, je šifrované end-to-end?
- Ako na tomto webe funguje šifrovanie typu end-to-end?
- Dešifrovacie heslo môže byť v adrese URL?
- Ale dešifrovacie heslo nemusí byť v adrese URL?
- Táto služba nedoručí odkaz príjemcovi?
- Ako si môžem pri používaní tejto služby čo najviac chrániť svoje súkromie?
- Čo ak nedôverujem USA?
- Čo robíte, aby ste zabránili spamu?
- Prečo existuje možnosť požadovať od príjemcu vyplnenie CAPTCHA?
- Kto prevádzkuje túto službu a prečo je zadarmo?
- Ako môžem dôverovať odpovediam na vyššie uvedené otázky?
Prečo je táto stránka zle preložená? ⎃
Je nám ľúto, ale súčasní autori hovoria iba anglicky. Potrebujeme pomoc s prekladom tohto projektu do iných jazykov. Ako jednoduchý a lacný prostriedok na sprístupnenie tejto služby ľuďom, ktorí neovládajú angličtinu, používame strojový preklad. Výsledky sú zvyčajne prijateľné, môžu však viesť k podivnému zneniu alebo dokonca k nepresným informáciám. Môžete nám pomôcť vylepšiť prostredie pre všetkých - odošlite správny preklad .
Aká bezpečná je táto služba?
Podnikli sme veľa krokov na zabezpečenie tejto služby pre jej zamýšľané použitie . Predtým, ako prejdeme týmito krokmi, je dôležité pochopiť nasledujúce skutočnosti:
- Aj keď nemôžeme prečítať vašu správu z dôvodu šifrovania typu end-to-end , predvolený vygenerovaný odkaz obsahuje dešifrovacie heslo / kľúč ; a preto si ktokoľvek, kto má odkaz, môže prečítať vašu správu - vrátane kohokoľvek, kto ju dokáže zachytiť.
- Táto služba je iba nástrojom, ktorý umožňuje odosielanie menej trvalej komunikácie (tj šifrované správy, ktoré sa po načítaní odstránia) prostredníctvom tradičnejších transportov, ktoré sú trvalejšie (napr. E-mail / text / okamžité správy / webová stránka / atď.). To znamená, že akékoľvek problémy so zabezpečením a ochranou súkromia spojené s vybraným prenosom (tj. E-mailom) sa zdedia, keď použijete tento nástroj .
- K dispozícii sú aj ďalšie riešenia, ktoré ponúkajú lepšie zabezpečenie v závislosti od vašich potrieb a prostredia. Hlavnou výhodou, ktorú táto služba ponúka v porovnaní s ostatnými, sú oveľa nižšie požiadavky na príjemcu (tj. Stačí mu webový prehliadač a možnosť kliknúť na odkaz).
- Aj keď je predvolené nastavenie mazanie správ po načítaní, príjemcovi nič nebráni v kopírovaní . Majte na pamäti, že to platí pre všetky riešenia dočasných správ - ak prijímač vidí správu, môže byť skopírovaná.
- Akákoľvek internetová komunikácia môže narušiť vaše súkromie - kvôli bezpečnosti obchodujete s určitou bezpečnosťou.
- Web je náročným prostredím, pokiaľ ide o bezpečnosť kvôli niektorým zásadným problémom - to platí pre všetky webové stránky. Vďaka tomu, že sme online, však overujeme naše tvrdenie, že vašu správu nemôžeme čítať oveľa jednoduchšie .
- Táto webová stránka a jej databáza sú hostené v Spojených štátoch. Ako sieť na doručovanie obsahu používame spoločnosť Cloudflare, spoločnosť so sídlom v Spojených štátoch (všetka webová prevádzka prechádza touto sieťou).
- Používanie služby nevyžaduje žiadne osobné informácie (tj. Meno / e-mail / telefón / atď.). Neexistuje žiadny systém účtov (tj. Prihlasovacie meno / heslo / atď.); preto žiadne porušenie ochrany údajov nemôže viesť k úniku týchto informácií.
- Celý obsah správ je šifrovaný end-to-end . Inými slovami, dešifrovací kľúč / heslo nám nikdy nie je zaslané. Preto my alebo ktokoľvek iný, kto vlastní databázu, nemáme žiadne prostriedky na dešifrovanie a prezeranie obsahu správy.
- Každý záznam v našej databáze má čas životnosti od 1 minúty do 2 týždňov (predvolené hodnoty sú 1 týždeň). Po uplynutí tejto doby sa záznam automaticky vymaže. Preto budú všetky informácie z našej databázy krátko po vytvorení vymazané .
- Udržiavame iba posledných 24 hodín protokolov webového servera . Všetky informácie IP uložené v databáze sú bezpečne hašované, čo znemožňuje získanie pôvodnej adresy IP.
- Celý kód napájajúci túto službu je otvorený zdroj a je možné ho skontrolovať. Ľahko vidíte kód, ktorý šifruje - čo je zámerne krátke, výstižné a komentované.
- Na posilnenie bezpečnosti sa prijíma rad technických opatrení - medzi ktoré patria:
- Celá táto webová stránka iná ako / api je statická a nepodporuje serverový kód na stránkach (tj. PHP / JSP / ASP / atď.)
- Web Crypto API , ktoré je súčasťou prehliadača, sa používa na šifrovanie všetkého obsahu správ.
- TLS sa používa na šifrovanie komunikácie medzi vašim prehliadačom a našimi servermi. Pomáha zabezpečiť, že kód nebude možné pri prenose zachytiť alebo upraviť. Je podporovaný protokol TLS 1.3, ale podporujeme protokol TLS 1.2 aj pre staršie zariadenia. Staršie verzie protokolu TLS sú zakázané, pretože nie sú také bezpečné.
- Z dôvodu nesprávneho vystavenia certifikátu sa sleduje denník transparentnosti certifikátu. Ďalej zverejňujeme politiku autorizácie certifikačnej autority (CAA), aby sme znížili riziko nechceného alebo škodlivého zneužitia certifikátu.
- Používame HTTP Strict Transport Security (HSTS), aby sme zabezpečili, že prehľadávače vždy komunikujú s našimi servermi pomocou protokolu TLS. Ďalej zahrnujeme naše domény do zoznamov predbežného načítania .
- Je vynucovaná prísna politika zabezpečenia obsahu, aby sa zabránilo útokom XSS (Cross Site Scripting) .
- Pomocou prostriedkov politiky Cross-Origin , sa začleňovania zásady Cross-Origin a otvárača na politiku Cross-Origin , zakazujeme cross kód pôvodu s cieľom pomôcť zmierniť proti špekulatívnym útokom postranného kanála ako prízrak a Meltdown. Toto tiež poskytuje ochranu pred potenciálne škodlivými požiadavkami z iného zdroja izolovaním kontextu prehliadania výlučne od dokumentov rovnakého pôvodu.
- Používame politiku povolení, aby sme zabránili prehliadaču načítať zdroje, ktoré by mohli narušiť vaše súkromie, ako je napríklad vaša poloha, webová kamera, mikrofón atď.
- DNSSEC sa používa vo všetkých našich doménach na zmiernenie útokov MITM založených na DNS.
- Prijímame určité opatrenia na zabezpečenie servera.
- Nie je načítaný žiadny kód tretej strany (tj. JQuery) a je načítaných veľmi málo zdrojov (pokračujte a otvorte kartu Sieť v nástroji Dev Tools na kontrolu) - minimalizuje sa tým úsilie potrebné na audit. Jedinou výnimkou je, ak sa vyžaduje CAPTCHA - ktorý načíta kód tretej strany z hCaptcha . Kód hCaptcha sa však načítava na vlastnú adresu URL vo svojich vlastných pravidlách CSP a nikdy nemá prístup k ničomu, čo by malo spoločné so správou.
- Ako prostriedok na ochranu pred útokmi MITM sú k dispozícii rozšírenia prehľadávača .
Prečo som sem dostal odkaz s možnosťou dešifrovať správu?
Ospravedlňujeme sa, ak sú v tomto preklade chyby . Táto služba jednoducho zašle zašifrovanú správu z jedného bodu do druhého a vy ste jej príjemcom. Správa bude čoskoro odstránená. Prevádzkovatelia tejto služby nemajú žiadny spôsob, ako čítať obsah správy. Zvyčajne niekto používa túto službu, ak nechce, aby obsah správy zostal v rôznych databázach / zariadeniach / službách / súboroch / atď. ako je typické pri odosielaní e-mailových správ, okamžitých správ, textových správ atď. Ak sa rozhodnete dešifrovať, nezabudnite na toto:
- Je pravdepodobné, že správa bude odstránená okamžite po odoslaní do vášho zariadenia na dešifrovanie. To znamená, že po dešifrovaní správy kliknutím na toto tlačidlo už nebudeme mať kópiu, ktorá by vám bola odoslaná neskôr.
- Systematicky mazáme všetky prijaté informácie. Správy budú odstránené kdekoľvek od jednej minúty do dvoch týždňov po ich vytvorení - bez ohľadu na to, či bola správa niekedy dešifrovaná. Inými slovami, ak si správu potrebujete prečítať, nečakajte na jej dešifrovanie príliš dlho.
- Odosielateľ sa pravdepodobne domnieva, že s obsahom správy by sa malo zaobchádzať opatrne. Možno dokonca naznačili, že nechcú robiť žiadne kópie. Prosím, rešpektujte ich želania.
- Ak sa zobrazí výzva na zadanie hesla na dešifrovanie správy, nezatvárajte okno / kartu prehľadávača. Podľa prvej odrážky v tomto zozname je pravdepodobné, že nemôžeme poslať ďalšiu kópiu neskôr. Okno alebo kartu prehliadača nechajte otvorené, kým nebudete môcť zadať heslo. Ak zadáte nesprávne heslo, znova sa zobrazí výzva. Heslo musí byť zadané presne. Pamätajte, že aby sme vyhoveli rôznym požiadavkám na jazyky a heslo, prijímame rôzne heslá.
Chcete vymazať všetko, čo ste odoslali na tento web?
Verné nášmu logu koša ... všetko sa vymaže krátko po prijatí. Vymazanie všetkého je automatické - zapíše sa to na server. Popremýšľajte o tom takto - sú predložené dve triedy informácií:
- Šifrované správy, pre ktoré nemáme prostriedky na dešifrovanie obsahu
- Ďalšie informácie spojené s odoslaním čohokoľvek na web (tj. Vaša IP adresa atď.)
- Ako dlho by sme mali správu uchovať, ak ju nikto nezíska (v rozmedzí od 1 minúty do 2 týždňov - predvolené hodnoty do 1 týždňa).
- Koľkokrát sa správa stiahne (v rozsahu od 1 do 100-krát - predvolené hodnoty sú 1-krát)
Prečo používať túto službu?
Táto služba je nástrojom, vďaka ktorému sú správy, ktoré odosielate a prijímate, menej trvalé. Väčšina toho, čo komunikujete na internete (chaty, texty, e-maily atď.), Je uložená a zriedka odstránená. Častokrát, keď niečo odstránite, v skutočnosti sa to neodstráni, ale skôr sa to označí ako odstránené a už sa vám nezobrazí. Vaša súhrnná komunikácia sa rok čo rok zhromažďuje v databázach a na zariadeniach, nad ktorými nemáte žiadnu kontrolu. Nevyhnutne je jedna alebo viac organizácií / ľudí / zariadení, ktoré ukladajú vašu komunikáciu, napadnutá hackermi a unikajú vaše informácie. Tento problém je taký všadeprítomný, že v súčasnosti existuje veľa webových stránok, ktoré sledujú organizácie, ktoré boli napadnuté a unikli z nich používateľské údaje. End-to-end šifrované dočasné správy sú jednoduchým riešením, vďaka ktorému je časť vašej komunikácie menej trvalá. Čas platnosti každej správy odoslanej na tento web je od 1 minúty do 2 týždňov - po uplynutí tejto doby sa správa odstráni. Predvolené nastavenie je ďalej odstrániť správu, keď ju príjemca prijal. Všetky správy sú navyše šifrované z vášho prístroja až do prístroja príjemcu. Hlavným cieľom pri využívaní šifrovania typu end-to-end je odstrániť našu schopnosť čítať všetky odoslané správy, čím sa odstráni časť požiadaviek na dôveru. Konečným výsledkom je, že teraz je ľahké odoslať zašifrovanú správu prostredníctvom jednoduchého odkazu. Táto správa sa odstráni krátko po odoslaní alebo po načítaní. Nemusíte inštalovať / konfigurovať špeciálny softvér. Nemusíte si vytvárať účet ani poskytovať žiadne osobné informácie. Príjemca nemusí byť vo vašich kontaktoch alebo dokonca o tejto službe vedieť - je to jediná požiadavka, aby mohol kliknúť na odkaz.
Je to služba zasielania správ?
Nie. Táto služba je navrhnutá tak, aby dopĺňala existujúce služby zasielania správ, ako sú okamžité správy / e-mail / text / atď. pridaním možnosti zabrániť dlhodobému ukladaniu odoslaných správ. Generovaný odkaz nedoručíme príjemcovi .
Aké sú zamýšľané prípady použitia?
Aké sú teda scenáre, kedy je vhodné túto službu využiť? Aj keď má každý odlišné potreby a požiadavky, pokiaľ ide o jeho súkromie a bezpečnosť, ako vhodné prípady použitia som osobne našiel nasledujúce scenáre:
- Komunikujete prostredníctvom miestneho webového fóra o trasách pre horské bicykle v tejto oblasti a niekedy sa stretávate s ľuďmi na fóre, aby ste spolu skontrolovali nové trasy. Niekto z fóra vás chce tento víkend vyzdvihnúť u vás, aby ste sa zhromaždili na ceste k chodníku. Nechcete, aby vaša domáca adresa sedela v tejto databáze fór webových stránok navždy. Prostredníctvom tejto služby jednoducho pošlite adresu - odkaz sa nachádza v databáze fóra webových stránok, ale po prečítaní adresátom sa správa / adresa vymaže.
- Musíte poslať svojmu bratovi svoje prihlásenie do služby Netflix, pretože vaša neter ho privádza do šialenstva kvôli uzamknutiu COVID a stále nemá svoj vlastný účet. Na tomto prihlásení sa príliš nezaujímate, ale váš brat je obzvlášť zlý na tom, čo budem nazývať iba „digitálna hygiena“, a prešiel mnohými pokusmi s narušeným prihlásením a škodlivým softvérom. Následné pokusy prinútiť ho, aby svoj čin upratal, a dokonca ani inštalácia bezpečných správ pre neho zlyhali. Jeho jednoduché odoslanie prostredníctvom textovej správy je pravdepodobne najlepšou voľbou (bohužiaľ), ale je vám nepríjemné, aby vám toto prihlásenie sedelo v histórii správ kvôli minulým skúsenostiam. Používanie tejto služby na odoslanie prihlásenia pomocou odkazu v textovej správe uspokojí to, že nedovolí, aby sa prihlásenie v jeho histórii chatu navždy zavesilo.
- Niekedy pracujete v kancelárii, ktorá má veľa zdieľaných nájomníkov, ktorí prichádzajú a odchádzajú z každej hodiny. K dispozícii je Wi-Fi pripojenie na internet, ale heslo sa mení každý týždeň, pretože došlo k problémom so zneužívaním. Mnoho nájomníkov e-mailom / textom žiada heslo WiFi, aj keď je to na recepcii, pretože väčšina nevstupuje predným hlavným vchodom. Pomocou tejto služby môže vedúci kancelárie poslať heslo WiFi prostredníctvom odkazu v e-mailovej / textovej odpovedi, aby nedovolil, aby heslo zostalo nezmenené, a tiež umožňuje príjemcovi okamžite skopírovať heslo pomocou tlačidla kopírovania, ktoré je na mobilných zariadeniach menej zložité.
- Jeden z vašich poskytovateľov hostingu sa vás pýta na podrobnosti o serveri, ktorý ste nahlásili, vykazuje znaky pevného disku, ktorý sa javí ako poškodený. Niektoré informácie, ktoré potrebujú, sú trochu citlivé - nechcete, aby sedeli večne v systéme lístkov tretích strán, ktorý používajú. Pomocou tejto služby môžete informácie poslať technikom podpory bez toho, aby boli umiestnené v systéme lístkov. Pretože viac technikov bude možno musieť odkazovať na informácie viackrát, nastavte hodnotu read-to-live na viac ako 1 (tj. Možno 20), aby sa správa pri prvom načítaní nevymazala.
- Musíte inému používateľovi v službe Reddit poslať súkromnú správu, aby ste mu dali vedieť svoje telefónne číslo, aby vám mohol volať. Reddit, rovnako ako mnoho iných poskytovateľov, v minulosti zverejnil informácie o používateľovi a vy nechcete, aby vaše telefónne číslo len roky sedelo v databáze Redditu až do ďalšieho úniku. Prostredníctvom tejto služby jednoducho pošlite svoje telefónne číslo.
- Váš manžel vám pošle správu, keď ste v práci a chcú prihlásenie do obslužného programu, pretože jej priateľka práve vyskúšala nový program, ktorý jej zachránil peniaze za účet za elektrinu a chce si ju skontrolovať. Existuje zdieľaný rodinný správca hesiel, ktorému jej pripomínate, ale chce iba, aby ste poslali prihlasovacie údaje. Spoločnosť OMEMO sa používa na zasielanie okamžitých správ vášmu manželovi / manželke, a preto si myslíte, že prenos správ je bezpečný; samotná história chatu sa však ukladá nezašifrovaná. Váš manžel nie je vždy opatrný pri sťahovaní, e-mailoch atď. A účty za energie sú trochu citlivé, pretože sa dajú použiť na krádež identity na preukázanie bydliska. Pomocou tejto služby jej môžete poslať prihlasovacie údaje, aby sa zabránilo uloženiu kópie v jej počítači.
Na čo by sa táto služba nemala využívať?
Táto služba by sa nemala používať na získanie veľmi citlivých informácií zo všetkých dôvodov vysvetlených v týchto častých otázkach. Ďalej uvádzame niekoľko príkladov, čo nerobiť:
- Nepoužívajte túto službu na zaistenie bezpečnejšieho prenosu nevhodných správ. Pretože predvolené nastavenie je zahrnúť heslo do adresy URL, ktorá môže čítať správy, správu si môže prečítať ktokoľvek s odkazom. Ako už bolo spomenuté vyššie, akékoľvek problémy so zabezpečením a súkromím spojené so zvoleným prenosom (tj. Textom) sa dedia, keď použijete tento nástroj. Napríklad, ak by ste nikdy neuvažovali o použití e-mailu na zasielanie konkrétnych informácií kvôli jeho závistivej povahe, nemali by ste túto službu používať na „zabezpečenie“ tejto časti e-mailu.
- Nepoužívajte túto službu, aby ste sa uistili, že správa nie je kopírovaná. To, že svoju kópiu zašifrovanej správy odstránime ihneď po získaní a sťažujeme jej kopírovanie, ešte neznamená, že správu nemožno kopírovať. Čo ak príjemca odfotí svoju obrazovku? Čo ak správu iba zapíšu? Nakoniec, ak si príjemca môže správu prečítať, je možné vytvoriť kópiu.
- Nepoužívajte túto službu, aby ste zabezpečili, že správu nemožno vysledovať späť k vám. Táto služba závisí od iného poskytovateľa prenosu správ (napr. E-mail, chat atď.), Aby dostal správu z jedného bodu do druhého. Použitý prenos správ by mohol veľmi dobre vystopovať správu späť k vám.
- Nepoužívajte túto službu na zasielanie všetkého, čo chcete odmietnuť. To, že je odstránená samotná správa, ešte neznamená, že je odstránený odkaz smerujúci na odstránenú správu. Ak pošlete e-mail priateľovi a časť tohto e-mailu má odkaz na správu z tejto služby, príležitostný čitateľ bude vedieť, že v správe bolo niečo iné. Aj keď je správa, na ktorú odkaz odkazuje, už dávno preč - je zrejmé, že bola odoslaná niečo iné a vy ste ju poslali svojmu priateľovi.
Prečo nepoužívať iba PGP / Signal / OMEMO / Matrix / atď.?
Ak poznáte osobu, ktorej chcete posielať zabezpečené dočasné správy, posielajte ich často, očakávajte chatovacie rozhranie alebo môžete očakávať, že príjemca bude mať požadovaný softvér a bude vedieť, ako ho používať, pravdepodobne táto webová stránka nie je najlepsie riesenie. Existujú skvelé možnosti, ktoré sú open source, podporujú E2EE, nie webové, a dokonca niektoré ako Signal, ktoré tiež podporujú dočasné správy. Ja osobne používam súkromný server XMMP a OMEMO na chatovanie s blízkymi priateľmi a rodinou. Používanie tejto stránky môže byť optimálne, iba ak neviete, aký softvér príjemca používa, nepoznáte jeho telefónne číslo / kontaktné údaje, nepoznáte ich technické znalosti (ale predpokladajte, že môže kliknúť na odkaz), alebo si radšej ponecháte správu, ktorú odosielate, mimo základného komunikačného prenosu.
Aké požiadavky existujú?
Vyžaduje sa moderný a aktuálny webový prehliadač, ktorý správne implementuje štandardy vrátane Web Crypto API. Príklady: Chrome, Firefox, Edge a Safari (okolo roku 2020 alebo neskôr).
Môže príjemca vytvoriť kópiu správy?
Áno. Aj keď sa správa môže po načítaní vymazať, príjemca si ju môže naďalej pozrieť. Kedykoľvek môže prijímač správu úplne zobraziť, je možné vytvoriť kópiu - to platí pre všetku komunikáciu. Existuje možnosť, aby príjemcovi sťažila vyhotovenie kópie. V tomto prípade sú implementované tri prekážky kopírovania:
- Tlačidlo Kopírovať je odstránené. Toto tlačidlo predvolene umožňuje príjemcovi kopírovať celú správu do svojej schránky.
- Tlačidlo Stiahnuť je odstránené. Toto tlačidlo predvolene umožňuje príjemcovi stiahnuť správu ako textový súbor.
- Možnosť výberu textu vo vnútri textového poľa správy je odstránená.
Zbierajú sa nejaké osobné informácie?
Nepodporujeme používateľské účty (tj. Používateľské meno / heslo). Nezhromažďujeme žiadne informácie, ktoré by vás mohli identifikovať (tj. Meno / adresa / e-mail / telefón). Je možné, že v správe, ktorú odosielate, môžu byť niektoré osobné informácie, ale sú šifrované a my ich nemáme ako prečítať. Podrobné informácie nájdete v našich zásadách ochrany osobných údajov .
Aké informácie sa zaznamenávajú?
Náš webový server uchováva až 24 hodín bežného formátu denníka pri všetkých webových aktivitách. To zahŕňa zaznamenávanie celej adresy IP klientov HTTP. Po 24 hodinách sa tieto zaznamenané informácie automaticky odstránia. Všetky žiadosti odoslané do / api sú POSTed, čo znamená, že webový server nikdy nezaznamená žiadne informácie špecifické pre správu. Ďalej sú všetky informácie uložené v databáze efektívne protokolované. Všetky záznamy v databáze vrátane anonymizovaných a hašovaných adries IP majú čas vypršania platnosti (TTL), po ktorom sa automaticky odstránia. Časy exspirácie TTL sa pohybujú medzi 1 minútou a 2 týždňami.
Čo robíte na zabezpečenie serverov?
Zabezpečenie servera je zjavným problémom. Na zaistenie bezpečnosti sa zameriavame na dve hlavné oblasti:
- Najskôr ukladáme čo najmenej a čo najmenšie množstvo času, aby v prípade napadnutia servera nedošlo k poškodeniu našich používateľov akýmkoľvek únikom informácií. Všetky správy uložené v databáze sú šifrované bez možnosti ich dešifrovania. Nie je uložené nič, čo by spájalo správy s niektorými z našich používateľov, pretože od našich používateľov nezhromažďujeme žiadne osobné informácie. Všetky záznamy v databáze majú čas vypršania platnosti (TTL) v rozmedzí od 1 minúty do 2 týždňov - po uplynutí tejto doby sa záznam automaticky odstráni. Preto bola drvivá väčšina informácií, ktoré sa kedy v databáze nachádzali, už dávno vymazaná.
- Prijímame niekoľko opatrení, aby sme zabránili kompromisu a aby sme zabránili všetkým kompromisom, ku ktorým dôjde:
- Webový server, nginx , je spustený v izolovanom kontajneri ako neprivilegovaný užívateľ bez prístupu na zápis k čomukoľvek okrem protokolov. Kontajner beží vo svojom vlastnom kontexte SELinux, čo ďalej zabraňuje akýmkoľvek zmenám v súborovom systéme alebo ľahkému úniku z kontajnera. Neexistuje podpora pre PHP / ASP / JSP / atď. len slúži statické zdroje -.
- Kód running / api je napísaný v jazyku Go, čo by ho malo pomerne zvýšiť odolnosť voči chybám spojeným s pretečením medzipamäte (bežný vektor útoku). Proces Go tiež beží v izolovanom kontajneri ako neprivolovaný užívateľ bez prístupu na zápis do čohokoľvek iného ako do databázy. Kontajner beží vo svojom vlastnom kontexte SELinux, čo ďalej zabraňuje akýmkoľvek zmenám v súborovom systéme alebo ľahkému úniku z kontajnera. Databáza badgerdb je súčasťou procesu Go (žiadna závislosť / proces od externej databázy).
- Hlavné nebezpečenstvo kompromisu na serveri je, že útočník môže upravovať súbory spôsobom, ktorý by ohrozil súkromie / bezpečnosť našich používateľov. Špeciálny proces monitoruje všetky súbory webových stránok z hľadiska akýchkoľvek zmien a okamžite nás upozorní v prípade, že dôjde k akejkoľvek zmene.
- Celý administratívny prístup je chránený a obmedzený na autorizované siete.
Aké bezpečnostné riziká existujú pri používaní tejto stránky?
Pred konkrétnym riešením niektorých z týchto rizík si myslím, že čiastočná stručná analógia by mohla pomôcť zhrnúť riziká pri používaní akejkoľvek internetovej komunikácie. Predstavte si, že akýkoľvek systém je bezpečný iba ako najslabší článok v reťazci. Teraz si predstavte scenár, kde sú dvaja ľudia v zapečatenej miestnosti bez možnosti vidieť, počuť alebo zaznamenať čokoľvek, čo robia. Jeden odovzdá správu druhému, ktorého po prečítaní správa vypáli. Ak si niekto mimo tejto miestnosti želá získať správu, ktorá už bola odovzdaná, bude to ťažké. Aký je najslabší odkaz na získanie správy? Nie je toľko možností na výber - je to dosť krátky reťazec. Teraz si predstavte, že keď pošlete správu na internete, že v reťazci je najmenej milión odkazov - mnohé z nich sú slabé - mnohé z nich sú úplne mimo vašu kontrolu - a to je realita.
Používanie šifrovania môže výrazne pomôcť pri riešení problému s miliónmi odkazov a dá sa ľahko nalákať na myslenie, že dobre navrhnuté systémy E2EE ponúkajú konečné riešenie. Toto premýšľanie vás však môže dostať do problémov, pretože útočník zvyčajne iba použije slabšie odkazy v systéme. Napríklad je pravdepodobne oveľa jednoduchšie prevziať telefón alebo počítač a nastaviť vstupný záznamník, ktorý bude čítať všetko, čo napíšete, ako rozbíjať šifrované správy po kábli. Záverom je, že keby som mal za úlohu komunikovať tajomstvo zásadného / kritického významu, používal by som elektronickú komunikáciu iba ako poslednú možnosť.
Pri akejkoľvek komunikácii teda existujú bezpečnostné riziká, stále však používate webový prehliadač na bankovníctvo, nákup vecí, e-mailov atď. Je to akceptované riziko pre získané obrovské vymoženosti. Naozaj je otázka ... aké bezpečnostné riziká sú pre tento web čiastočne špecifické? Niektoré mi prídu na myseľ:
- Asi najväčším rizikom pre túto službu je to, že naši používatelia nebudú používať dobrý úsudok pri rozlišovaní medzi tým, čo je vhodné poslať a čo nie je vhodné poslať . Niekedy môže byť rozdiel medzi „odosielanie týchto informácií e-mailom v poriadku - len by som si prial, aby bol e-mail po prečítaní vymazaný“ a „textové zasielanie týchto informácií mi nie je príjemné - e-mail je nevhodný prenos“, môže byť dosť jemné.
- Vždy existuje hrozba, že prevádzkovatelia tejto stránky sú v skutočnosti zlí aktéri, ktorí lákajú ľudí, aby pomocou služby dosiahli nejaký temný konečný cieľ. Narazili sme na vierohodne dôveryhodného - urobte všetko jednoduchým a bezplatným - získajte veľa ľudí pomocou tejto služby - po celú dobu so zlovestným úmyslom. Bwhahahahaha! Ako by ste nám mohli dôverovať?
- Je pravdepodobné, že náš kód obsahuje chyby, ktoré majú vplyv na bezpečnosť, alebo sme si veci jednoducho dobre nerozmysleli a naše nedostatky teraz vystavujú našich používateľov zbytočnému nebezpečenstvu. Dúfame, že nie - ale nemôžeme to vylúčiť.
- Na rozdiel od technologických titanov (napr. Google / Facebook / Whatsapp), ktorých teritóriá šifrovaných údajov neustále prúdia dovnútra a von z ich obrovských sietí, kde je ľahké zmiešať súkromnú komunikáciu s inou prevádzkou, samostatné centralizované služby (tj. Signál, Telegram a my) vynikáme. Pre operátora siete alebo dokonca veľkú organizáciu / vládu je ľahké zistiť, že adresa IP xxxx používa službu XYZ.
- Aj keď to nie je pre tento web konkrétne, pretože ho možno použiť proti ľubovoľnému webu, sú útoky typu man-in-the-middle (MITM) platným problémom .
Čo robíte s útokmi typu man-in-the-middle (MITM)?
Všetci používatelia webových stránok sa môžu potenciálne stať obeťou útoku MITM - táto stránka sa v tomto ohľade nelíši od všetkých ostatných na webe. Útok MITM je, keď je útočník schopný zachytiť a upraviť komunikáciu medzi prehliadačom používateľa a webovým serverom stránky. To umožňuje útočníkovi upraviť ľubovoľný kód / obsah webu, pričom sa koncovému používateľovi stále javí ako web, na ktorý je zvyknutý. Prijímame určité opatrenia, aby sme útok MITM sťažili:
- HSTS sa používa na vynútenie prehľadávačov, aby sa pripájali iba cez TLS. Náš server je nakonfigurovaný tak, aby ignoroval inú komunikáciu ako TLS, okrem presmerovania. Podporované sú iba protokoly TLS 1.2 alebo vyššie.
- DNSSEC sa používa na podpis zóny našej domény. To by mohlo zastaviť spoofing DNS implementovaný MITM útokmi, ak užívateľ využíva rekurzívny rezolver vedomý DNSSEC.
- Službu používame na sledovanie certifikačných autorít vydávajúcich akékoľvek neoprávnené certifikáty TLS odkazujúce na našu doménu.
- Zverejnili sme rozšírenia prehľadávača na podporu šifrovania správ pomocou kódu uloženého v zariadení koncového používateľa.
Aké výhody ponúkajú rozšírenia prehľadávača?
Rozšírenia prehľadávača ponúkame ako prostriedok poskytujúci ďalšie pohodlie a ďalšie zabezpečenie. Jednoducho povedané ... Vďaka rozšíreniam je odosielanie dočasných správ rýchlejšie a jednoduchšie. Istá bezpečnosť sa získava aj preto, lebo všetok kód používaný na šifrovanie a prípravu správy je uložený lokálne v rámci prípony. Pretože je kód uložený lokálne, poskytuje odosielateľovi určitú ochranu pred útokmi MITM . Je však potrebné poukázať na to, že hoci rozšírenia poskytujú väčšiu ochranu pred útokom MITM, ktorý ohrozuje obsah správy, útok MITM môže byť stále efektívny (tj. Určiť adresu IP odosielateľa, ak nepoužíva TOR / VPN / atď.).
Ako môžem s istotou vedieť, že všetko, čo ste odoslali, je šifrované end-to-end?
Na rozdiel od mnohých iných populárnych end-to-end šifrovaných (E2EE) chatovacích klientov je pomerne jednoduché presne zistiť, čo sa nám pri odoslaní správy pošle. Nasledujúci videonávod ukazuje, ako potvrdiť, že nemáme spôsob, ako dešifrovať správy odoslané na server.
Tiež, ak sa nad tým zamyslíte, pokiaľ nie sme nejakou tajnou agentúrou, ktorá sa snaží zhromažďovať citlivé správy, nie je pre nás výhodou, že budeme môcť správy dešifrovať, pretože mať túto schopnosť nám robí iba problémy. Nechceme ani ukladať správy - je však nevyhnutné zlo, aby sme ich doručovali.Ako na tomto webe funguje šifrovanie typu end-to-end?
V súčasnosti využívame symetrické šifrovanie (AES-GCM 256 bit) s kľúčmi odvodenými z hesiel (minimálne 150 000 iterácií PBKDF2 / SHA-256). Asymetrické šifrovanie sa nepoužíva, pretože existujú požiadavky na 1) odosielateľa iniciovajúceho komunikáciu 2) odosielateľa a príjemcu, ktorý nie je súčasne online, a 3) žiadne informácie o príjemcovi a 4) snažíme sa, aby boli veci skutočne jednoduché a správa kľúčov je komplikované. Pre všetky kryptografické funkcie vrátane RNG sa používa štandardné Web Crypto API. V zásade sa deje toto:
- Koncový užívateľ si zvolí heslo alebo sa heslo vygeneruje automaticky
- Uskutoční sa volanie API, aby sa získal počet požadovaných iterácií PBKDF2 / SHA-256 ( tento krok je potrebný na kontrolu spamu )
- Vygeneruje sa 32 bajtová soľ
- Kľúč je odvodený od soli a hesla
- Vygeneruje sa 12 bajtový inicializačný vektor (IV)
- Správa je šifrovaná pomocou kľúča + IV
- Počet iterácií, soľ, IV a šifrový text sa odosielajú na server (spolu s ďalšími informáciami, ako sú TTL, RTL atď.)
- Server vráti náhodné ID odkazujúce na správu
- Prehliadač potom poskytne koncovému používateľovi odkaz, ktorý obsahuje vrátené ID a heslo, alebo odkaz bez hesla (v takom prípade musí príjemca vedieť a zadať heslo).
- Ak je heslo súčasťou odkazu, je v hashe adresy URL , a preto sa nikdy neodosiela na server, keď príjemca zadá požiadavku GET
- Príjemca sa zobrazí výzva, ak chce správu dešifrovať a zobraziť
- Prehliadač zadá požiadavku s uvedením ID správy
- Ak odosielateľ vyžaduje vyplnenie obrázka CAPTCHA, príjemca bude presmerovaný na inú adresu URL, aby preukázal, že je človek (po jeho odovzdaní bude nasmerovaný späť)
- Server odošle zašifrovanú správu a v prípade, že je počet prečítaných naživo (RTL) jeden, správu v tomto okamihu predvolene vymaže.
- Príjemca správu dešifruje pomocou hesla (a výzva na zadanie hesla, ak nie je uvedená v adrese URL)
Dešifrovacie heslo môže byť v adrese URL?
Áno. To zjavne ovplyvňuje bezpečnosť, pretože ak je metóda použitá na odoslanie odkazu nezabezpečená, správa je nezabezpečená priradením. Všetky riešenia na odstránenie tohto problému zavádzajú ďalšie kroky a zložitosti, ktoré ovplyvňujú používateľskú skúsenosť (tj. Veci je potrebné pred odoslaním správy nastaviť na oboch koncoch). Asymetrická schéma, podľa ktorej príjemca iniciuje žiadosť o správu a odošle tento odkaz na žiadosť, by mohla fungovať s našou kľúčovou požiadavkou „všetko je pominuteľné“ - toto je možné implementovať. Nakoniec, ak si budú dve strany navzájom často posielať správy, existujú lepšie riešenia za predpokladu, že obe strany zvládnu ich využívať.
Ale dešifrovacie heslo nemusí byť v adrese URL?
Správne. Ak dešifrovacie heslo nie je súčasťou odkazu, príjemca bude vyzvaný na zadanie hesla. Ak je heslo príjemcovi bezpečne oznámené (alebo ho už pozná), poskytuje to ochranu pred zachytením. Nevýhodou však je, že príjemca musí vedieť a správne zadať heslo. Tu je jeden zo spôsobov, ako odoslať heslo príjemcovi, ktorý ponúka určitú ochranu pred odpočúvaním:
- Šifrujte heslo do správy s predvolenými nastaveniami a odošlite tento odkaz príjemcovi.
- Keď príjemca klikne na odkaz a dešifruje správu, vie, že nikto iný heslo pred ním nedostal, pretože správa obsahujúca heslo sa po načítaní odstráni. Ak však dôjde k aktívnemu útoku MITM alebo ak dôjde k ohrozeniu vášho zariadenia alebo zariadenia príjemcu, je stále možné, že heslo môže získať iná strana.
- Potvrďte príjemcovi, že úspešne získal heslo. Ak vás napríklad príjemca informuje, že keď išiel získať heslo, že správa už bola odstránená, potom poznáte niekoho iného, kto dostal heslo pred príjemcom, a že heslo je preto prelomené a nemalo by sa používať.
- Pomocou hesla, ktoré príjemca potvrdil, že vlastní, môžete teraz odoslať správu s rovnakým heslom na šifrovanie - stačí zdieľať verziu odkazu, ktorý heslo neobsahuje.
Táto služba nedoručí odkaz príjemcovi?
To je pravda - vygenerujeme odkaz a necháme ho na odosielateľa, ako najlepšie ho doručiť príjemcovi. Cieľom tejto služby je poskytnúť možnosť ponúkajúcu menšiu trvácnosť pri existujúcich prenosoch správ, ako sú e-maily, chaty, textové správy atď. Očakáva sa preto, že odkaz, ktorý generujeme a ktorý odkazuje na dočasnú správu, je odoslaný prostredníctvom existujúceho prenosu správ. Toto má bezpečnostné dôsledky, ktorým by mali používatelia rozumieť. Vezmime si ako príklad textovú správu SMS, pretože toto je dosť neistý spôsob komunikácie. Keď použijete túto službu na odoslanie dočasného odkazu na správu prostredníctvom textovej správy, ak použijete predvolený režim, v ktorom je do odkazu zahrnuté heslo, správu si môže prečítať ktokoľvek s odkazom a nie je zabezpečená ochrana proti odpočúvaniu. Táto služba stále poskytuje dočasnejšiu komunikáciu, ktorá môže zvýšiť súkromie a bezpečnosť. Ďalej sa môžete rozhodnúť odoslať odkaz bez hesla, čo zabezpečí ochranu pred zachytením.
Ako si môžem pri používaní tejto služby čo najviac chrániť svoje súkromie?
Ako je diskutované na inom mieste tejto časti Častých otázok, aj keď už teraz robíme veľa pre ochranu vášho súkromia a napriek tomu, že nezhromažďujeme žiadne osobné informácie, niektoré informácie týkajúce sa denníka odosielame a zhromažďujeme my a iní na základe toho, že používate webový prehliadač. Existuje však niekoľko spôsobov, ako ešte viac chrániť svoje súkromie. Jedným zo spôsobov, ktorý je bezplatne použiteľný na základe softvéru s otvoreným zdrojovým kódom a funguje celkom dobre, je použitie prehliadača Tor . Tento prehliadač je navrhnutý tak, aby chránil vaše súkromie na viacerých úrovniach - vrátane používania siete Tor . Náš web je už prístupný cez cibuľovú sieť Tor, čo znamená, že prístup na náš web cez Tor nevyžaduje použitie výstupného uzla, čo vylučuje odposluch prenosu z výstupného uzla . Nezabúdajte však, že aj v tomto scenári môže váš ISP vidieť, že používate Tor - aj keď nie na čo. Môžete sa dokonca pripojiť k sieti VPN a potom spustiť prehliadač Tor pre dve vrstvy anonymity; majte však na pamäti, že váš ISP v tomto scenári stále vidí, že používate VPN - aj keď nie na čo. Ak nechcete, aby váš ISP vedel, aké protokoly používate, môžete sa pripojiť k veľkej verejnej sieti WiFi, ako je knižnica, škola atď., A potom použiť prehliadač Tor.
Čo ak nedôverujem USA?
Naše servery sa nachádzajú v Spojených štátoch. Náš poskytovateľ CDN, Cloudflare, je navyše spoločnosť so sídlom v Spojených štátoch. Pokúsili sme sa odstrániť potrebu dôverovať nám alebo krajine, v ktorej sa nachádzajú naše servery, jednoducho preto, že nezhromažďujeme osobné informácie, nemôžeme dešifrovať žiadne správy a všetko sa vymaže krátko po ich prijatí. Môžeme však pochopiť určitú nedôveru, pretože je založená na webe, najmä ak žijete v určitých krajinách. Máme nejaké plány, aby sme ponúkli možnosti na Islande a vo Švajčiarsku pre ľudí, ktorí ťažko dôverujú USA. Ak sa vás to týka, dajte nám vedieť, pretože pokiaľ nebude skutočný dopyt, nebudeme motivovaní ponúkať alternatívy.
Čo robíte, aby ste zabránili spamu?
Kedykoľvek povolíte niekomu uverejniť správu, ktorá sa dá preniesť prostredníctvom odkazu, pozvete spamerov. Zastavenie tohto problému nie je úplne priame. Nechceme načítať CAPTCHA tretej strany ako súčasť procesu odosielania správ z niekoľkých dôvodov:
- Neznášame CAPTCHA - vyžadujú si čas a sú nepríjemné
- Načítanie JavaScriptu tretej strany môže byť z hľadiska ochrany súkromia a bezpečnosti invazívne
- Spustenie našej vlastnej CAPTCHA znamená, že sa prihlasujeme na nikdy nekončiacu hru facky
- Ľudia by možno chceli mať možnosť komunikovať s touto službou prostredníctvom rozhrania API
- Zvyšovanie počtu požadovaných iterácií PBKDF2 / SHA-256
Všetky správy je možné načítať iba niekoľkokrát - čo je pre spammerov neatraktívny atribút, pretože sa spoliehajú na to, že posielajú veľa správ. Pretože spamer nevyžiadanej pošty by musel pre každú danú spamovú kampaň vytvoriť veľa správ - rozhodli sme sa, že túto úlohu urobíme tak výpočtovo nákladnou, aby zneužitie tejto služby na spam nebolo lákavým úsilím. Toho sa dosahuje sledovaním sietí, ktoré odosielajú správy - merané ako celkový možný počet vyhľadávaní. Samotné sieťové informácie sú bezpečne hašované, aby sme z nich nemohli odvodiť skutočnú sieť. Pretože daná sieť uverejňuje viac správ, zvyšuje sa počet iterácií PBKDF2 / SHA-256 potrebných na zverejnenie nasledujúcej správy. To veľmi rýchlo vedie k tomu, že na odoslanie jednej správy je potrebných veľa času na procesor. Dúfajme, že táto metóda bude adekvátna na obmedzenie zneužívania spamu a zároveň nebude mať vplyv na skutočných používateľov. - Pri načítaní správy zhromažďujte spamové správy od používateľov
Hneď pod správou sa po načítaní správy nachádza tlačidlo „Nahlásiť spam“. Ak je správa spam, dúfajme, že niektorým bude trvať kliknutie na toto tlačidlo potrebné 3 sekundy. Keď dostaneme správu o nevyžiadanej pošte, upozorní nás to a tiež to ovplyvní ovplyvnenie požadovaných iterácií PBKDF2 / SHA-256 pre danú sieť.
Prečo existuje možnosť požadovať od príjemcu vyplnenie CAPTCHA?
Aj keď je pravda, že sa nám nepáčia CAPTCHA, uvedomujeme si, že slúžia svojmu účelu a majú čas a miesto (aspoň zatiaľ). Toto je jednoduchý spôsob, ako môže odosielateľ získať istotu, že príjemcom je človek a že automatizované procesy k správe nepristupujú.
Kto prevádzkuje túto službu a prečo je zadarmo?
Sme iba pár mužov, ktorí sa niekedy stretli s ťažkosťami, že nemajú dobré možnosti na ochranu nášho súkromia. Často to vyplynulo z komunikácie s priateľmi a členmi rodiny, ktorí neboli príliš opatrní v tom, ako narábajú so svojimi zariadeniami a informáciami. Inokedy to vzniklo pri používaní webových fór, ako je Reddit, alebo pri používaní webových podporných systémov. Našli sme nejaké webové riešenia dočasných správ, ale žiadne neponúkalo E2EE, čo znamená, že sme im nemohli dôverovať. Takže sme práve vytvorili vlastné riešenie a rozhodli sme sa ho rozdať, aby z neho mohli mať prospech ostatní.
Ako môžem dôverovať odpovediam na vyššie uvedené otázky?
Naozaj by ste nemali dôverovať žiadnym webovým stránkam len preto, že hovoria určité veci - je zvyčajne dobrý nápad overiť si akékoľvek tvrdenia. Pokúsili sme sa odstrániť požiadavku čo najviac nám dôverovať pomocou šifrovania typu end-to-end. Napríklad je dosť ľahké skontrolovať, že nemôžeme čítať žiadne správy, pretože sú šifrované . Udržiavali sme tiež veľmi jednoduchý kód javascriptového spustenia tohto webu , aby bol ľahko čitateľný a zrozumiteľný. Vytvorenie celého kódu ako otvoreného zdroja umožňuje ľuďom overiť si, čo beží; majte však na pamäti, že neexistuje spôsob, ako skutočne overiť, čo server beží. Aj keď je pravda, že veľká časť požiadavky na dôveru je odstránená pomocou šifrovania typu end-to-end, je to stále faktor, ktorý naši používatelia pri rozhodovaní o použití tejto služby vážia alebo nie.