Pogosto zastavljena vprašanja

• Zakaj je to spletno mesto slabo prevedeno? ⎃
• Kako varna je ta storitev?
• Zakaj sem tukaj dobil povezavo z možnostjo dešifriranja sporočila?
• Ali ste izbrisali vse, poslano na to spletno mesto?
• Zakaj uporabljati to storitev?
• Je to storitev sporočanja?
• Kakšni so predvideni primeri uporabe?
• Za kaj te storitve ne bi smeli uporabljati?
• Zakaj preprosto ne uporabite PGP/Signal/OMEMO/Matrix/itd.?
• Kakšne zahteve obstajajo?
• Ali lahko prejemnik kopira sporočilo?
• Ali se zbirajo kakšni osebni podatki?
• Kateri podatki se beležijo?
• Kaj počnete za zaščito strežnikov?
• Kakšna varnostna tveganja so prisotna pri uporabi tega spletnega mesta?
• Kaj počnete glede napadov človek v sredini (MITM)?
• Kakšne prednosti ponujajo razširitve brskalnika?
• Kako lahko zagotovo vem, da je vse predloženo šifrirano od konca do konca?
• Kako deluje šifriranje od konca do konca na tem spletnem mestu?
• Ključ za dešifriranje je lahko v URL -ju?
• Toda ključ za dešifriranje ni nujno v URL -ju?
• Ta storitev prejemniku ne dostavi povezave?
• Kako lahko med uporabo te storitve čim bolj zaščitim svojo zasebnost?
• Kaj pa, če ne zaupam ZDA?
• Kaj počnete, da preprečite neželeno pošto?
• Zakaj obstaja možnost, da od prejemnika zahtevate, da izpolni CAPTCHA?
• Kdo upravlja to storitev in zakaj je brezplačna?
• Kako lahko zaupam odgovorom na zgornja vprašanja?

Zakaj je to spletno mesto slabo prevedeno? ⎃

Oprostite, vendar sedanji avtorji govorijo samo angleško. Potrebujemo pomoč pri prevajanju tega projekta v druge jezike. Kot preprosto in poceni sredstvo, ki omogoča, da je ta storitev na voljo ljudem, ki ne govorijo angleško, uporabljamo strojno prevajanje. Rezultati so običajno sprejemljivi, lahko pa povzročijo čudno besedilo ali celo popolnoma netočne podatke. Lahko nam pomagate izboljšati izkušnjo za vse - prosimo, predložite pravilen prevod .

Kako varna je ta storitev?

Sprejeli smo veliko korakov, da bi bila ta storitev varna za predvideno uporabo . Preden nadaljujemo s temi koraki, je pomembno razumeti naslednje:

• Čeprav zaradi šifriranja od konca do konca vašega sporočila ne moremo prebrati, ustvarjena privzeta povezava vsebuje ključ za dešifriranje ; zato lahko vsakdo, ki ima povezavo, prebere vaše sporočilo - vključno z vsemi, ki ga lahko prestrežejo.
• Ta storitev je samo orodje, ki omogoča pošiljanje manj trajnih komunikacij (tj. Šifriranih sporočil, ki se po prenosu izbrišejo) prek tradicionalnih transportov, ki so trajnejši (tj. E-pošta/besedilo/takojšnje sporočanje/spletno mesto/itd.). To pomeni, da se pri uporabi tega orodja podedujejo vsa vprašanja glede varnosti/zasebnosti, povezana z izbranim prevozom (tj. E -pošto) .
• Na voljo so še druge rešitve, ki ponujajo boljšo varnost, odvisno od vaših potreb in okolja. Glavna prednost te storitve v primerjavi z drugimi je veliko nižje zahteve za prejemnika (tj. Potrebujejo le spletni brskalnik in možnost klika na povezavo).
• Medtem ko je privzeta nastavitev brisanje sporočil po prenosu, prejemnika nič ne ustavi pri kopiranju . Upoštevajte, da to velja za vse začasne rešitve sporočil - če prejemnik sporočilo vidi, ga je mogoče kopirati.
• Vsa internetna komunikacija lahko ogrozi vašo zasebnost - zaradi udobja trgujete z nekaj varnosti.
• Splet je izziv, ko gre za varnost zaradi nekaterih temeljnih vprašanj - to velja za vsa spletna mesta. Spletno početje pa olajša preverjanje trditve, da vašega sporočila ne moremo prebrati .
• To spletno mesto in njegova zbirka podatkov gostujeta v ZDA. Kot omrežje za dostavo vsebine uporabljamo Cloudflare, podjetje s sedežem v ZDA (ves spletni promet prečka to omrežje).

Naš cilj je ponuditi to storitev na način, ki ponuja možnosti za izboljšanje vaše zasebnosti in varnosti. Tukaj je nekaj korakov, ki smo jih sprejeli za varno varovanje vaših podatkov:

• Uporaba storitve ne zahteva nobenih osebnih podatkov (tj. Imena/e -pošte/telefona/itd.). Ni sistema računa (tj. Prijave/gesla/itd.); zato te informacije ne morejo uhajati zaradi kakršne koli kršitve podatkov.
• Vsa vsebina sporočila je šifrirana od konca do konca . Z drugimi besedami, ključ za dešifriranje nam nikoli ne pošlje. Zato mi ali kdo drug, ki ima bazo podatkov, nimamo sredstev za dešifriranje in ogled vsebine sporočila.
• Vsak vnos v našo bazo podatkov ima čas za življenje od 1 minute do 2 tedna (privzeto do 1 teden). Po preteku tega časa se zapis samodejno izbriše. Zato bodo vse informacije v naši zbirki podatkov kmalu po njenem ustvarjanju izbrisane .
• Hranimo le zadnjih 24 ur dnevnikov spletnega strežnika . Vse informacije o IP, shranjene v bazi podatkov, so varno zgoščene, kar onemogoča pridobivanje prvotnega IP.
• Vsa koda, ki poganja to storitev, je odprtokodna in na voljo za pregled. Kodo, ki izvaja šifriranje, je preprosto videti, ki je namerno kratka, jedrnata in komentirana.
• Za krepitev varnosti so sprejeti številni tehnični varnostni ukrepi, med katerimi so nekateri:
  • Celotno spletno mesto razen/api je statično in ne podpira strežniške kode na straneh (tj. PHP/JSP/ASP/itd.)
  • Web Crypto API , ki je del brskalnika, se uporablja za šifriranje vse vsebine sporočila.
  • TLS se uporablja za šifriranje komunikacije med vašim brskalnikom in našimi strežniki. Pomaga zagotoviti, da kode med prevozom ni mogoče prestreči ali spremeniti. TLS 1.3 je podprt, podpiramo pa tudi TLS 1.2 za starejše naprave. Starejše različice TLS so onemogočene, ker niso tako varne.
  • Dnevniki preglednosti potrdil se spremljajo zaradi napačne izdaje potrdil. Poleg tega objavljamo politiko pooblastila za izdajo dovoljenj za potrjevanje (CAA) za zmanjšanje tveganja nenamerne ali zlonamerne napačne izdaje certifikata.
  • Uporabljamo strogo varnost prometa HTTP (HSTS), da zagotovimo, da brskalniki vedno komunicirajo z našimi strežniki po protokolu TLS. Poleg tega naše domene vključimo v sezname za vnaprejšnje nalaganje .
  • Za preprečevanje napadov XSS (Cross Site Scripting) se izvaja stroga politika varnosti vsebine .
  • Z uporabo politike navzkrižnega izvora, pravilnika o navzkrižnem izvoru in politike odpiranja navzkrižnega izvora prepovedujemo kodo navzkrižnega izvora, da bi pomagali ublažiti špekulativne napade stranskih kanalov, kot sta Spectre in Meltdown. To ponuja tudi zaščito pred potencialno zlonamernimi zahtevami drugega izvora z izolacijo konteksta brskanja izključno za dokumente istega izvora.
  • Za preprečevanje nalaganja virov, ki bi lahko ogrozili vašo zasebnost, kot so vaša lokacija, spletna kamera, mikrofon itd., Uporabljamo Politiko dovoljenj.
  • DNSSEC se uporablja na vseh naših domenah za lajšanje napadov MITM, ki temeljijo na DNS.
  • Za zaščito strežnika sprejemamo številne varnostne ukrepe.
  • Koda tretje osebe ni naložena (tj. JQuery) in naloženih je zelo malo virov (pojdite naprej in odprite zavihek Omrežje v orodjih za razvijalce, da preverite) - to zmanjša napor, potreben za revizijo. Edina izjema je, če je potreben CAPTCHA - ki naloži kodo tretje osebe iz hCaptcha. Vendar se koda hCaptcha naloži na svoj URL znotraj lastnih pravil CSP in v nobenem trenutku nima dostopa do ničesar, kar je povezano s sporočilom.
  • Kot sredstvo za zaščito pred napadi MITM so na voljo razširitve brskalnika .

Zakaj sem tukaj dobil povezavo z možnostjo dešifriranja sporočila?

Opravičujemo se, če je pri prevodu prišlo do napak. Ta storitev preprosto posreduje šifrirano sporočilo od ene točke do druge in vi ste prejemnik. Sporočilo bo kmalu izbrisano. Upravljavci te storitve ne morejo prebrati vsebine sporočila. Običajno nekdo uporablja to storitev, če ne želi, da vsebina sporočila ostane v različnih bazah podatkov/napravah/storitvah/datotekah/itd. kot je običajno pri pošiljanju e-pošte/takojšnjega sporočila/besedila/itd. Če se odločite za dešifriranje, upoštevajte naslednje:

• Sporočilo bo verjetno izbrisano takoj, ko bo poslano v vašo napravo za dešifriranje. To pomeni, da po tem, ko kliknete gumb za dešifriranje sporočila, nimamo več kopije, ki bi vam jo lahko poslali kasneje.
• Sistematično brišemo vse prejete informacije. Sporočila bodo izbrisana od ene minute do dveh tednov po ustvarjanju - ne glede na to, ali je sporočilo kdaj dešifrirano. Z drugimi besedami, če morate prebrati sporočilo, ne čakajte predolgo, da ga dešifrirate.
• Pošiljatelj verjetno meni, da je treba z vsebino sporočila ravnati previdno. Morda so celo navedli, da ne želijo narediti nobenih kopij. Prosim, spoštujte njihove želje.
• Če boste pozvani, da dešifrirate sporočilo, vnesite geslo, ne zaprite okna/zavihka brskalnika. Glede na prvo črko na tem seznamu verjetno kasneje ne moremo poslati druge kopije. Okno/zavihek brskalnika pustite odprto, dokler ne vnesete gesla. Če vnesete napačno geslo, boste znova pozvani. Geslo je treba natančno vnesti. Upoštevajte, da zaradi upoštevanja različnih jezikov in zahtev po geslih sprejemamo veliko različnih znakov v geslih.

Ali ste izbrisali vse, poslano na to spletno mesto?

V skladu z logotipom koša za smeti ... vse se izbriše kmalu po prejemu. Izbris vsega je avtomatiziran - zapisan je v strežnik. Pomislite na ta način - predloženi sta dve vrsti informacij:

• Šifrirana sporočila, za katera nimamo sredstev za dešifriranje vsebine
• Drugi podatki, povezani z oddajo kar koli v spletu (npr. Vaš IP naslov itd.)

V primeru sporočil lahko določite, kdaj jih izbrišemo, tako da določite:

• Kako dolgo naj hranimo sporočilo, če ga nihče ne pridobi (od 1 minute do 2 tednov - privzeto do 1 tedna).
• Kolikokrat je bilo sporočilo preneseno (od 1 do 100 krat - privzeto do 1 -krat)

Privzeto se vse, kar je povezano s sporočilom, izbriše, ko je enkrat naloženo ali je staro 1 teden - kar se zgodi prej. Ko gre za brisanje vseh drugih podatkov, povezanih s pošiljanjem kar koli v spletu (npr. Vašega naslova IP itd.), Vam ne dajemo nobenega nadzora nad tem, kdaj in kako se izbrišejo - vse jih izbrišemo vsakih 24 ur. .

Zakaj uporabljati to storitev?

Ta storitev je orodje, ki pomaga zmanjšati trajnost sporočil, ki jih pošiljate/prejemate. Večina tega, kar komunicirate v internetu (klepeti, besedila, e -poštna sporočila itd.), Je shranjenih in redko izbrisanih. Pogosto, ko nekaj izbrišete, se dejansko ne izbriše, temveč označi kot izbrisano in se vam ne prikaže več. Vaše zbirne komunikacije se iz leta v leto kopičijo v zbirkah podatkov in na napravah, na katere nimate nadzora. Neizogibno je ena ali več organizacij/ljudi/naprav, ki hranijo vašo komunikacijo, vdrto in vaši podatki uhajajo. Ta problem je tako razširjen, da zdaj obstaja veliko spletnih mest, ki sledijo organizacijam, ki so bile ogrožene in so puščale uporabniške podatke. Šifrirana začasna sporočila od konca do konca so preprosta rešitev, ki pomaga zmanjšati trajnost nekaterih komunikacij. Vsako sporočilo, poslano na to spletno mesto, ima čas za življenje od 1 minute do 2 tednov-po preteku tega časa se sporočilo izbriše. Poleg tega je privzeta nastavitev izbrisati katero koli sporočilo, ko ga prejemnik pridobi. Poleg tega so vsa sporočila šifrirana od vaše naprave do naprave prejemnika. Glavni cilj uporabe šifriranja od konca do konca je odstraniti našo sposobnost branja poslanih sporočil in s tem odstraniti nekatere zahteve po zaupanju. Končni rezultat je, da je zdaj preprosto poslati šifrirano sporočilo prek preproste povezave. To sporočilo se izbriše kmalu po pošiljanju ali po prenosu. Ni vam treba namestiti/konfigurirati posebne programske opreme. Ni vam treba ustvariti računa ali posredovati osebnih podatkov. Prejemniku ni treba biti v vaših stikih ali sploh vedeti za to storitev - edina zahteva, da lahko klikne povezavo.

Je to storitev sporočanja?

Ne. Ta storitev je zasnovana tako, da dopolnjuje obstoječe storitve sporočanja, kot so takojšnje sporočanje/e-pošta/besedilo/itd. z dodajanjem zmožnosti za dolgotrajno shranjevanje poslanih sporočil. Ustvarjene povezave ne dostavimo prejemniku .

Kakšni so predvideni primeri uporabe?

Kakšni so torej scenariji, v katerih je primerno uporabljati to storitev? Medtem ko ima vsak glede zasebnosti in varnosti različne potrebe in zahteve, sem osebno ugotovil, da so primerni primeri naslednji scenariji:

• Preko lokalnega spletnega foruma ste komunicirali o gorskih kolesarskih poteh na tem območju in se včasih srečali z ljudmi na forumu, da skupaj preverite nove poti. Nekdo s foruma vas želi pripeljati pri vas, da se ta vikend odpravite na avtocesto. Ne želite, da je vaš domači naslov v tej zbirki forumov spletnega mesta za vedno. Preprosto pošljite naslov prek te storitve - povezava je tista, ki se nahaja v bazi forumov spletnega mesta, ko pa jo prejemnik prebere, se sporočilo/naslov izbriše.
• Bratku morate poslati prijavo za Netflix, ker ga vaša nečakinja zmeša zaradi zapora COVID -a in še vedno nima svojega računa. Ta prijava vas ne skrbi preveč, vendar je vaš brat še posebej slab v tem, kar bom poimenoval "digitalna higiena", in je imel veliko poskusov z ogroženimi prijavami in zlonamerno programsko opremo. Kasnejši poskusi, da bi ga očistil, in celo namestitev varnih sporočil zanj, niso uspeli. Preprosto pošiljanje prek besedilnega sporočila je verjetno najboljša možnost (na žalost), vendar vam je zaradi preteklih izkušenj neprijetno, da je ta prijava v zgodovini sporočil. Uporaba te storitve za pošiljanje prijave prek povezave v besedilnem sporočilu zadošča, da prijava ne ostane večno v svoji zgodovini klepeta.
• Včasih delate v pisarni, ki ima veliko skupnih najemnikov, ki prihajajo in odhajajo ob vseh urah. Na voljo je WiFi, vendar se geslo vsak teden obrača, ker je prišlo do težav z zlorabo. Številni najemniki po e -pošti/besedilu prosijo za geslo za WiFi, čeprav je na recepciji, ker večina ne vstopi skozi glavni vhod. S to storitvijo lahko upravitelj pisarne pošlje geslo za WiFi prek povezave v e -poštnem/besedilnem odgovoru, ki dovoljuje, da se geslo zadrži, in prejemniku omogoča tudi, da takoj kopira geslo prek gumba za kopiranje, ki je v mobilnih napravah manj neroden.
• Eden od vaših ponudnikov gostovanja vas prosi za podrobnosti o strežniku, za katerega ste poročali, da kaže znake trdega diska, ki se zdi slab. Nekateri podatki, ki jih potrebujejo, so nekoliko občutljivi - ne želite, da ostanejo večno v sistemu vstopnic tretjih oseb, ki ga uporabljajo. S to storitvijo lahko podatke pošljete podpornim tehnikom, ne da bi bili v sistemu vozovnic. Ker se bo morda več tehnikov moralo večkrat sklicevati na informacije, nastavite branje v živo več kot 1 (tj. Morda 20), tako da se sporočilo ne izbriše pri prvem pridobivanju.
• Morate zasebno poslati sporočilo drugemu uporabniku na Redditu, da mu sporoči vašo telefonsko številko, da vas lahko pokliče. Reddit je, tako kot številni drugi ponudniki, v preteklosti iztekel podatke o uporabnikih in ne želite, da vaša telefonska številka leta do naslednjega uhajanja le sedi v zbirki Reddit. Preprosto pošljite svojo telefonsko številko prek te storitve.

Za kaj te storitve ne bi smeli uporabljati?

Te storitve ne bi smeli uporabljati za zelo občutljive podatke iz vseh razlogov, razloženih v tem pogostih vprašanjih. Spodaj je nekaj primerov, česa ne storiti:

• Ne uporabljajte te storitve, da bi bil neprimeren prenos sporočil "bolj varen". Ker je privzeta nastavitev vključitev ključa za dešifriranje v URL, ki lahko prebere sporočilo, lahko sporočilo prebere vsak s povezavo. Kot je navedeno zgoraj, se pri uporabi tega orodja podedujejo vsa vprašanja glede varnosti/zasebnosti, povezana z izbranim prevozom (tj. Besedilo). Tako na primer, če zaradi občutljive narave nikoli ne bi pomislili na uporabo e -pošte za pošiljanje določenih informacij, te storitve ne bi smeli uporabljati za "zaščito" tega dela e -pošte.
• Te storitve ne uporabljajte za zagotovitev, da sporočilo ni kopirano. Samo zato, ker takoj po pridobivanju izbrišemo našo kopijo šifriranega sporočila in otežimo kopiranje, še ne pomeni, da sporočila ni mogoče kopirati. Kaj pa, če prejemnik fotografira svoj zaslon? Kaj pa, če samo zapišejo sporočilo? Konec koncev, če lahko prejemnik sporočilo prebere - lahko naredite kopijo.
• Te storitve ne uporabljajte za zagotovitev, da vam sporočila ni mogoče slediti. Ta storitev je odvisna od drugega ponudnika prenosa sporočil (tj. E -pošte, klepeta itd.), Da prenaša sporočilo od ene točke do druge. Zaposleni pri transportu sporočil bi vam lahko zelo dobro izsledil sporočilo.
• Te storitve ne uporabljajte za pošiljanje vsega, kar želite zavrniti. Če je samo sporočilo izbrisano, ne pomeni, da je izbrisana povezava, ki kaže na izbrisano sporočilo. Če prijatelju pošljete e -poštno sporočilo in del tega e -poštnega sporočila vsebuje povezavo do sporočila te storitve, bo naključni bralec vedel, da je v sporočilu še kaj drugega. Tudi če sporočila, na katero se nanaša povezava, že zdavnaj ni več - je jasno, da je bilo poslano nekaj drugega in da ste ga vi poslali svojemu prijatelju.

Zakaj preprosto ne uporabite PGP/Signal/OMEMO/Matrix/itd.?

Če poznate osebo, ki ji želite poslati varna začasna sporočila, jih pogosto pošiljajte, pričakujte vmesnik, podoben klepetu, in/ali lahko pričakujete, da bo prejemnik imel potrebno programsko opremo in ve, kako jo uporabljati, to spletno mesto verjetno ni najboljša rešitev. Obstajajo odlične možnosti, ki so odprtokodne, podpirajo E2EE, ne pa spletne in celo nekatere, kot je Signal, ki podpirajo tudi začasna sporočila. Osebno uporabljam zasebni strežnik XMMP in OMEMO za klepet z bližnjimi prijatelji in družino. Uporaba tega spletnega mesta je lahko optimalna le, če ne veste, katero programsko opremo uporablja prejemnik, ne poznate njegove telefonske številke/ročaja za stik, ne poznate njihove tehnične usposobljenosti (vendar predpostavite, da lahko kliknejo povezavo), ali pa raje obdržite sporočilo, ki ga pošljete, zunaj osnovnega komunikacijskega prometa.

Kakšne zahteve obstajajo?

Potreben je sodoben in posodobljen spletni brskalnik, ki ustrezno izvaja standarde, vključno z API-jem Web Crypto. Primeri vključujejo: Chrome, Firefox, Edge in Safari (okoli leta 2020 ali pozneje).

Ali lahko prejemnik kopira sporočilo?

Da. Čeprav se lahko sporočilo ob prenosu izbriše, si ga lahko prejemnik še vedno ogleda. Kadar koli si lahko prejemnik v celoti ogleda sporočilo, lahko naredite kopijo - to velja za vse komunikacije. Obstaja možnost, da prejemnik oteži izdelavo kopije. V tem primeru se izvajajo tri ovire pri kopiranju:

• Gumb Kopiraj je odstranjen. Ta gumb privzeto omogoča prejemniku, da celotno sporočilo kopira v odložišče.
• Gumb za prenos je odstranjen. Ta gumb privzeto omogoča prejemniku, da prenese sporočilo kot besedilno datoteko.
• Možnost izbire besedila v besedilnem polju sporočila je odstranjena.

Vendar so te zaščite pred kopiranjem šibke, ker jih je mogoče zaobiti. Prejemnik lahko vedno posname tudi posnetek zaslona ali fotografijo sporočila.

Ali se zbirajo kakšni osebni podatki?

Ne podpiramo uporabniških računov (tj. Uporabniškega imena/gesla). Ne zbiramo podatkov, ki bi vas lahko identificirali (tj. Ime/naslov/e -poštni naslov/telefon). Možno je, da so v sporočilu, ki ga pošiljate, nekateri osebni podatki, vendar so ti šifrirani in jih ne moremo prebrati. Za podrobnosti preberite naš pravilnik o zasebnosti.

Kateri podatki se beležijo?

Naš spletni strežnik hrani do 24 ur skupne oblike dnevnika za vso spletno dejavnost. To vključuje beleženje celotnega naslova IP odjemalcev HTTP. Po 24 urah se ti zabeleženi podatki samodejno izbrišejo. Vse zahteve, poslane na /api, so OBJAVLJENE, kar pomeni, da spletni strežnik nikoli ne zabeleži nobenih podatkov, specifičnih za sporočila. Poleg tega se vsi podatki, shranjeni v bazi podatkov, učinkovito beležijo. Vsi vnosi v zbirki podatkov, vključno z anonimiziranimi in zgoščenimi naslovi IP, imajo čas poteka (TTL), po katerem se samodejno izbrišejo. Časi poteka TTL se gibljejo med 1 minuto in 2 tednoma.

Kaj počnete za zaščito strežnikov?

Varnost strežnika je očitna skrb. Za ohranitev varnosti se osredotočamo na dve glavni področji:

• Prvič, shranimo čim manj za čim krajši čas, tako da v primeru ogrožanja strežnika vsako uhajanje informacij ne bi škodilo našim uporabnikom. Vsa sporočila, shranjena v bazi podatkov, so šifrirana in jih ni mogoče dešifrirati. Nič ni shranjenega, kar bi povezalo katero koli sporočilo z nobenim od naših uporabnikov, saj od naših uporabnikov ne zbiramo nobenih osebnih podatkov. Vsi zapisi v zbirki podatkov imajo rok trajanja (TTL) od 1 minute do 2 tedna - po preteku tega časa se zapis samodejno izbriše. Zato je bila velika večina informacij, ki so bile kdaj v bazi, že zdavnaj izbrisana.
• Sprejemamo številne ukrepe za preprečitev kompromisa in zajezitev kakršnega koli kompromisa, ki se zgodi:
  • Spletni strežnik, nginx , deluje v izoliranem vsebniku kot neprivilegiran uporabnik brez dostopa do pisanja na kar koli drugega kot v dnevnike. Vsebnik deluje v svojem kontekstu SELinux, kar dodatno preprečuje kakršne koli spremembe datotečnega sistema ali enostaven izhod iz vsebnika. Ni podpore za PHP/ASP/JSP/itd. - samo služi statičnim virom.
  • Koda, ki se izvaja /api, je napisana v jeziku Go, zaradi česar bi morala biti dokaj odporna na zaščito ranljivosti zaradi prelivanja vmesnega pomnilnika (pogost vektor napada). Proces Go se prav tako izvaja v izoliranem vsebniku kot nepooblaščen uporabnik brez dostopa do pisanja v kar koli drugega kot v bazo podatkov. Vsebnik deluje v svojem kontekstu SELinux, kar dodatno preprečuje kakršne koli spremembe datotečnega sistema ali enostaven izhod iz vsebnika. Baza podatkov badgerdb je del procesa Go (brez odvisnosti/procesa od zunanje baze podatkov).
  • Glavna nevarnost kompromisa strežnika je, da lahko napadalec spremeni datoteke na način, ki bi ogrozil zasebnost/varnost naših uporabnikov. Namenski postopek spremlja vse datoteke spletnega mesta glede kakršnih koli sprememb in nas takoj opozori, če pride do kakršne koli spremembe.
  • Vsi administrativni dostopi so zaščiteni in omejeni na pooblaščena omrežja.

Kakšna varnostna tveganja so prisotna pri uporabi tega spletnega mesta?

Preden se konkretno lotimo nekaterih od teh tveganj, menim, da bi lahko na pol kratka analogija pomagala povzeti tveganja pri uporabi katere koli internetne komunikacije. Predstavljajte si, da je kateri koli sistem varen le kot je najšibkejši člen v verigi. Zdaj pa si zamislite scenarij, ko sta v zaprti sobi dve osebi, ki nimata možnosti videti, slišati ali posneti ničesar, kar počneta. Eden bo poslal sporočilo drugemu, ki ga bo ob branju zapisal. Če želi nekdo zunaj te sobe prejeti že poslano sporočilo, bo to težko. Katera je najšibkejša povezava do sporočila? Na izbiro ni toliko povezav - precej kratka veriga. Zdaj pa si predstavljajte, da ko pošljete sporočilo po internetu, da je v verigi vsaj milijon povezav - od katerih so mnoge šibke - mnoge od njih popolnoma zunaj vašega nadzora - in to je resničnost.

Uporaba šifriranja lahko v veliki meri pomaga pri zgoraj omenjeni težavi povezave z milijonom, zato ga je enostavno privabiti v razmišljanje, da dobro zasnovani sistemi E2EE ponujajo rešitev za vse. Vendar pa vam lahko to razmišljanje povzroči težave, saj bo napadalec običajno šel za šibkejšimi povezavami v sistemu. Na primer, verjetno je veliko lažje prevzeti telefon ali računalnik in nastaviti vnosni zapisovalnik, ki bo samo prebral vse, kar vnesete, kot pa razbijanje šifriranih sporočil po žici. Bistvo je, da če bi imel nalogo sporočiti skrivnost vitalnega/kritičnega pomena, bi elektronsko komunikacijo uporabil le kot zadnjo možnost.

Torej pri uporabi vseh komunikacij obstajajo varnostna tveganja, vendar še vedno uporabljate spletni brskalnik za bančništvo, nakup stvari, e -pošto itd. To je sprejeto tveganje za velike pridobljene ugodnosti. Resnično vprašanje je ... katera varnostna tveganja so za to spletno mesto delno specifična? Na misel mi pride nekaj:

• Morda največje tveganje in edinstveno za to storitev je, da naši uporabniki ne bodo dobro presojali, ko bodo razločevali, kaj je primerno poslati in kaj ni primerno poslati . Včasih je lahko razlika med "e -poštno pošiljanje teh informacij po e -pošti - samo želim si, da bi bilo e -poštno sporočilo izbrisano po branju" in "ni mi všeč, da po e -pošti pošiljam te podatke - e -pošta je neprimeren prevoz", lahko precej subtilna.
• Vedno obstaja grožnja, da so upravljavci tega spletnega mesta pravzaprav slabi akterji, ki ljudi zvabijo k uporabi storitve, da bi dosegli kakšen temni končni cilj. Naletimo na verodostojno zaupanje - naredite vse enostavno in brezplačno - pridobite veliko ljudi z uporabo storitve - ves čas z zlobnim namenom. Bwhahahahaha! Kako bi nam lahko zaupali?
• Obstaja možnost, da ima naša koda napake, ki vplivajo na varnost, ali pa preprosto nismo dobro premislili, naše pomanjkljivosti pa zdaj izpostavljajo naše uporabnike nepotrebni nevarnosti. Upamo, da ne - vendar tega ne moremo izključiti.
• Za razliko od tehnoloških titanov (tj. Google/Facebook/Whatsapp), ki imajo v svojih ogromnih omrežjih nenehno pretočne terabite šifriranih podatkov, kjer je enostavno, da se zasebna komunikacija zlije z drugim prometom, samostojne centralizirane storitve (tj. Telegram in mi) izstopajo. Omrežni operater ali celo velika organizacija/vlada lahko preprosto vidijo, da naslov IP xxxx uporablja storitev XYZ.
• Čeprav to spletno mesto ni specifično, saj ga je mogoče uporabiti proti kateremu koli spletnemu mestu, so napadi človek v sredini (MITM) veljavna skrb .

Kaj počnete glede napadov človek v sredini (MITM)?

Vsi uporabniki spletnih mest so lahko potencialno žrtev napada MITM - to mesto se v tem pogledu ne razlikuje od vseh drugih na spletu. Napad MITM je, ko lahko napadalec prestreže in spremeni komunikacijo med brskalnikom uporabnika in spletnim strežnikom spletnega mesta. To omogoča napadalcu, da spremeni katero koli kodo/vsebino spletnega mesta, hkrati pa se končnemu uporabniku še vedno zdi, da je spletno mesto, na katerega so navajeni. Sprejemamo nekaj ukrepov za oteževanje napada MITM:

• HSTS se uporablja, da brskalnike prisili, da se povezujejo samo prek TLS. Naš strežnik je konfiguriran tako, da prezre komunikacijo, ki ni TLS, razen preusmerjanja. Podprti so samo TLS 1.2 ali novejši.
• DNSSEC se uporablja za podpisovanje območja naše domene. To bi lahko ustavilo izvajanje ponarejanja DNS, ki izvaja izvedene napade MITM, če uporabnik uporablja rekurzivni razreševalnik, ki se zaveda DNSSEC.
• Storitev uporabljamo za spremljanje overiteljev certifikatov, ki izdajajo nepooblaščena potrdila TLS, ki se nanašajo na našo domeno.
• Za podpiranje šifriranja sporočil s kodo, shranjeno v napravi končnega uporabnika, smo objavili razširitve brskalnika.

Vendar pa je napad MITM še vedno možen - še posebej, če napadalec nadzoruje omrežno/infrastrukturo javnega ključa, kot bi to veljalo za velike/močne organizacije ali vlade. Ponujamo razširitve brskalnika, ki lahko pomagajo ublažiti nekatera tveganja MITM.

Kakšne prednosti ponujajo razširitve brskalnika?

Razširitve brskalnika nudimo kot sredstvo za dodatno udobje in dodatno varnost. Preprosto povedano ... Razširitve omogočajo hitrejše in lažje pošiljanje začasnih sporočil. Nekaj varnosti je pridobljeno tudi zato, ker je vsa koda, ki se uporablja za šifriranje in pripravo sporočila, lokalno shranjena v razširitvi. Ker je koda shranjena lokalno, to pošiljatelju ponuja nekaj zaščite pred napadi MITM . Vendar je treba poudariti, da čeprav razširitve ponujajo večjo zaščito pred napadom MITM, ki ogroža vsebino sporočila, je lahko napad MITM še vedno učinkovit (tj. Za določitev naslova pošiljatelja IP, če ne uporablja TOR/VPN/itd.).

Kako lahko zagotovo vem, da je vse predloženo šifrirano od konca do konca?

V nasprotju s številnimi drugimi priljubljenimi odjemalci klepeta od konca do konca (E2EE) je precej preprosto videti, kaj nam pošljete, ko pošljete sporočilo. Spodnja video vadnica prikazuje, kako potrditi, da nimamo možnosti dešifriranja sporočil, poslanih na strežnik.

Tudi če pomislite, dokler nismo neka tajna agencija, ki poskuša zbirati občutljiva sporočila, nam ne bo koristilo dešifriranja sporočil, saj nam ta sposobnost samo povzroča težave. Sploh ne želimo shranjevati sporočil - vseeno je nujno zlo, da jih dostavimo.

Kako deluje šifriranje od konca do konca na tem spletnem mestu?

Trenutno uporabljamo simetrično šifriranje (AES-GCM 256bit) s ključi, pridobljenimi iz gesel (najmanj 200.000 ponovitev PBKDF2 + SHA-256). Asimetrično šifriranje se ne uporablja, ker obstajajo zahteve za 1) pošiljatelja, ki začne komunikacijo, 2) pošiljatelj in prejemnik nista hkrati na spletu in 3) ni podatkov o prejemniku in 4) poskušamo stvari ohraniti preproste in upravljanje s ključi je zapleteno. Standardni spletni kripto API se uporablja za vse kriptografske funkcije, vključno z RNG. V bistvu se zgodi naslednje:

1. Končni uporabnik vnese besedilno sporočilo in lahko določi več možnosti, vključno z geslom.
2. Za pridobitev ključa se ustvari varno geslo. Če je uporabnik določil geslo, ga združi z ustvarjenim geslom.
3. Klic API-ja se izvede, da se pridobi število potrebnih ponovitev PBKDF2 + SHA-256 ( ta korak je potreben za nadzor neželene pošte )
4. Nastane 32 -bajtna sol
5. Ključ izhaja iz soli in gesla
6. Ustvari se 12 -bajtni inicializacijski vektor (IV)
7. Sporočilo je šifrirano s ključem in IV.
8. Število ponovitev, sol, IV in šifrirani tekst se pošljejo na strežnik (skupaj z nekaterimi drugimi informacijami, kot so TTL, RTL itd.)
9. Strežnik vrne naključni ID, ki se nanaša na sporočilo
10. Brskalnik končnemu uporabniku nato predstavi povezavo, ki jo lahko nato da v skupno rabo s prejemnikom. Vsi podatki o sporočilu se hranijo v razpršeni komponenti URL -ja in se zato ne pošljejo strežniku med standardno zahtevo GET.
11. Povezava je v skupni rabi s prejemnikom.
12. Prejemnik bo pozvan, če želi dešifrirati in si ogledati sporočilo.
13. Ko se prejemnik odloči za ogled sporočila, brskalnik poda zahtevo, v kateri navede ID sporočila.
14. Če pošiljatelj zahteva dokončanje CAPTCHA, je prejemnik preusmerjen na drug URL, da dokaže, da je človek (ko ga posredujejo, se usmeri nazaj).
15. Strežnik pošlje šifrirano sporočilo in bo privzeto izbrisal sporočilo, če je branje v živo (RTL).
16. Prejemnik bo dešifriral sporočilo in po potrebi pozval geslo.

Ta nastavitev je izjemno preprosta in ponuja šifriranje sporočil od pošiljateljeve naprave do prejemnikove naprave, seveda pa nima nekaterih garancij, ki jih asimetrično šifriranje lahko ponudi. Vsakdo s povezavo lahko odpre sporočilo v privzetem scenariju - to poudarja pomen uporabe ustreznega prevoza za povezavo (tj. E -pošte/klepeta/besedila/itd.) - odločitev je prepuščena pošiljatelju.

Ključ za dešifriranje je lahko v URL -ju?

Da. Če geslo ni uporabljeno, lahko sporočilo prebere vsak s povezavo. To očitno vpliva na varnost, ker če je mogoče prestreči način, uporabljen za pošiljanje povezave, je mogoče prestreči sporočilo. Vse rešitve za odpravo te težave uvajajo dodatne korake in zapletenost, ki vplivajo na uporabniško izkušnjo (tj. Pred pošiljanjem sporočila je treba stvari nastaviti na obeh koncih). Konec koncev, če si bosta obe strani pogosto pošiljali sporočila, obstajajo boljše rešitve, ob predpostavki, da bosta obe strani z njimi lahko ravnali.

Toda ključ za dešifriranje ni nujno v URL -ju?

Pravilno. Avtor sporočila lahko določi geslo za zaščito sporočila. To geslo se uporablja za pridobivanje skrivnega ključa, ki ni del URL -ja . Če uporabljate varno geslo in ga prejemnik varno sporoči (ali ga že pozna), to zagotavlja zaščito pred prestrezanjem. Slabost pa je, da mora prejemnik vedeti in pravilno vnesti geslo. Tu je en način za pošiljanje gesla prejemniku, ki ponuja nekaj zaščite pred prestrezanjem:

1. Geslo šifrirajte v sporočilu s privzetimi nastavitvami in pošljite to povezavo prejemniku.
2. Ko prejemnik klikne povezavo in dešifrira sporočilo, ve, da nihče drug pred njim ni dobil gesla, ker se sporočilo, ki vsebuje geslo, po prenosu izbriše. Če pa je aktiven napad MITM ali če je bila vaša naprava ali naprava prejemnika ogrožena, je še vedno mogoče, da geslo pridobi druga stranka.
3. Prejemnika potrdite, da je geslo uspešno pridobil. Na primer, če vas prejemnik obvesti, da je geslo, ko je šel iskat geslo, že izbrisano, veste, da je nekdo drug prejel geslo pred prejemnikom in da je geslo zato ogroženo in ga ne bi smeli uporabljati.
4. Z geslom, ki ga je prejemnik potrdil, lahko zdaj pošljete sporočilo z istim geslom za šifriranje.

Ta storitev prejemniku ne dostavi povezave?

To je pravilno - povezavo ustvarimo in pošiljatelju prepustimo, kako jo najbolje dostaviti prejemniku. Cilj te storitve je zagotoviti možnost, ki ponuja manj trajnosti pri obstoječih prenosih sporočil, kot so e -pošta/klepet/besedilo/itd. Zato se pričakuje, da bo povezava, ki jo ustvarimo, ki kaže na začasno sporočilo, poslana prek obstoječega transporta sporočila. To ima varnostne posledice, ki bi jih morali uporabniki razumeti. Kot primer vzemimo besedilno sporočilo SMS, saj je to precej negotov način komunikacije. Ko uporabljate to storitev za pošiljanje začasnega sporočila s privzetimi nastavitvami, lahko kdor koli s povezavo prebere sporočilo in zaščita pred prestrezanjem ni na voljo. Ta storitev še vedno zagotavlja bolj začasno komunikacijo, ki lahko izboljša zasebnost in varnost. Poleg tega se lahko za zaščito pred prestrezanjem uporabi geslo.

Kako lahko med uporabo te storitve čim bolj zaščitim svojo zasebnost?

Kot je razloženo drugje v tem pogostem vprašanju, čeprav že veliko naredimo za zaščito vaše zasebnosti in čeprav ne zbiramo nobenih osebnih podatkov, nekatere podatke, povezane z dnevniki , posredujemo in zbiramo mi in drugi z vami prek spletnega brskalnika. Vendar pa obstaja več načinov za dodatno zaščito vaše zasebnosti. Eden od načinov, ki je prost, ki temelji na odprtokodni programski opremi in deluje zelo dobro, je uporaba brskalnika Tor . Ta brskalnik je zasnovan za zaščito vaše zasebnosti na več ravneh - vključno z uporabo omrežja Tor . Naše spletno mesto je že dostopno prek čebulnega omrežja Tor, kar pomeni, da za dostop do našega spletnega mesta prek Tor ni potrebna uporaba izstopnega vozlišča, ki negira nekoga, ki prisluškuje prometu izhodnega vozlišča . Vendar ne pozabite, da lahko tudi v tem scenariju vaš ponudnik internetnih storitev vidi, da uporabljate Tor - čeprav ne za kaj. Lahko se celo povežete z VPN in nato zaženete brskalnik Tor za dve plasti anonimnosti; vendar ne pozabite, da lahko vaš ponudnik internetnih storitev v tem scenariju še vedno vidi, da uporabljate VPN - čeprav ne za kaj. Če ne želite, da vaš ponudnik internetnih storitev ve, katere protokole uporabljate, se lahko povežete z velikim javnim omrežjem WiFi, kot so knjižnica, šola itd., In nato uporabite brskalnik Tor.

Kaj pa, če ne zaupam ZDA?

Naši strežniki se nahajajo v ZDA. Poleg tega je naš ponudnik CDN, Cloudflare, podjetje s sedežem v Združenih državah. Poskušali smo odpraviti potrebo po zaupanju nam ali državi, v kateri prebivajo naši strežniki, preprosto zato, ker ne zbiramo osebnih podatkov, ne moremo dešifrirati nobenega sporočila in vse se izbriše kmalu po prejemu. Nekaj nezaupanja pa lahko razumemo, saj je spletno in še posebej, če živite v določenih državah. Imamo načrte, da na Islandiji in v Švici ponudimo možnosti za ljudi, ki težko zaupajo ZDA. Sporočite nam, če to velja za vas, saj ne bomo motivirani, da ponudimo druge možnosti, razen če obstaja resnično povpraševanje.

Kaj počnete, da preprečite neželeno pošto?

Kadar koli dovolite nekomu, da objavi sporočilo, ki ga je mogoče poslati prek povezave, povabite pošiljatelje neželene pošte. Odpravljanje te težave ni povsem preprosto. Ne želimo naložiti CAPTCHA tretje osebe kot del postopka pošiljanja sporočila iz nekaj razlogov:

• Sovražimo CAPTCHA - vzamejo si čas in so nadležni
• Nalaganje javascripta tretjih oseb je lahko škodljivo za zasebnost in varnost
• Izvajanje lastnega programa CAPTCHA pomeni, da se prijavljamo na neskončno igro whack-a-mola
• Sčasoma bodo ljudje morda želeli komunicirati s to storitvijo prek API -ja

Težavo z API -jem bi lahko rešili z uporabo sistema ključev API -ja, potem pa moramo zbrati podatke o uporabnikih, česar nočemo. Kaj pa preprečuje pošiljateljem neželene pošte, da dobijo veliko ključev API? Sporočila ne moremo preučiti, da bi sklepali na njihovo nezaželenost (kar je v najboljšem primeru zelo problematično), saj imamo poleg šifriranja sporočil pravilnik o vsebini sporočil. Glede na te zahteve uporabljamo dve metodi za preprečevanje neželene pošte:

• Povečanje števila potrebnih ponovitev PBKDF2/SHA-256
  Vsa sporočila je mogoče pridobiti le majhno število krat - to je neprivlačen atribut za pošiljatelje neželene pošte, saj se zanašajo na pošiljanje veliko sporočil. Ker bi pošiljatelj neželene elektronske pošte moral ustvariti veliko sporočil za vsako oglaševalsko akcijo z neželeno pošto - smo se odločili, da bo to opravilo tako računsko drago, da bo zloraba te storitve zaradi neželene pošte postala neprivlačna naloga. To dosežemo tako, da spremljamo omrežja, ki objavljajo sporočila - merjeno v smislu skupnih možnih pridobitev. Podatki o omrežju so varno zgoščeni, tako da iz razpršenosti ne moremo sklepati na resnično omrežje. Ker določeno omrežje objavlja več sporočil, povečujemo število ponovitev PBKDF2/SHA-256, potrebnih za objavo naslednjega sporočila. To zelo hitro povzroči, da je za objavo enega samega sporočila potrebno veliko časa procesorja. Upajmo, da bo ta metoda ustrezna za omejevanje zlorabe neželene pošte in hkrati ne bo vplivala na resnične uporabnike.
• Zberite poročila o neželeni pošti od uporabnikov, ko pridobijo sporočilo
  Tik pod sporočilom je gumb "Prijavi neželeno pošto", ko uporabnik prikliče sporočilo. Če je sporočilo neželena pošta, upajmo, da bodo nekateri potrebovali 3 sekunde, potrebne za klik na ta gumb. Ko prejmemo neželeno poročilo, nas opozori in vpliva tudi na zahtevane ponovitve PBKDF2/SHA-256 za določeno omrežje.

Če veste, da pošiljatelji neželene pošte zlorabljajo to storitev, vložite prijavo zlorabe .

Zakaj obstaja možnost, da od prejemnika zahtevate, da izpolni CAPTCHA?

Res je, da nam CAPTCHA ni všeč, vendar se zavedamo, da služijo svojemu namenu in imajo čas in kraj (vsaj za zdaj). To je preprost način, da pošiljatelj pridobi nekaj zagotovila, da je prejemnik človek in da avtomatizirani procesi ne dostopajo do sporočila.

Kdo upravlja to storitev in zakaj je brezplačna?

Smo le par fantov, ki smo se včasih soočili s težavo, da nimamo dobrih možnosti za zaščito naše zasebnosti. Pogosto je to posledica komunikacije s prijatelji in družinskimi člani, ki niso bili zelo previdni pri ravnanju s svojimi napravami in informacijami. Včasih se je to zgodilo pri uporabi spletnih forumov, kot je Reddit, ali pri uporabi spletnih podpornih sistemov. Našli smo nekaj spletnih začasnih rešitev za sporočila, vendar nobena ni ponudila E2EE, kar pomeni, da jim ne moremo zaupati. Zato smo zgradili svojo lastno rešitev in se odločili, da jo podarimo, da bodo imeli drugi koristi od nje.

Kako lahko zaupam odgovorom na zgornja vprašanja?

Pravzaprav ne bi smeli zaupati nobenemu spletnemu mestu samo zato, ker na njem piše nekaj - običajno je dobra ideja preveriti vse trditve. Zahtevo, da nam čim bolj zaupate, smo poskušali odstraniti z uporabo šifriranja od konca do konca. Na primer, zelo enostavno je preveriti, da ne moremo prebrati nobenega sporočila, ker je šifrirano . Tudi kodo javascript, na kateri je to spletno mesto, je zelo preprosta, tako da je enostavna za branje in razumevanje. Odprtokodna koda omogoča ljudem, da preverijo, kaj se izvaja; vendar ne pozabite, da ni mogoče resnično preveriti, kaj strežnik izvaja. Čeprav je res, da se večina zahtev po zaupanju odstrani s šifriranjem od konca do konca, je to še vedno dejavnik, ki ga naši uporabniki veliko tehtajo, ko se odločajo za uporabo te storitve ali ne.