maswali yanayoulizwa mara kwa mara

• Kwa nini tovuti hii haijatafsiriwa vibaya? ⎃
• Huduma hii iko salama kiasi gani?
• Kwa nini nilipokea kiunga hapa na chaguo la kubatilisha ujumbe?
• Unafuta kila kitu kilichowasilishwa kwenye wavuti hii?
• Kwa nini utumie huduma hii?
• Je! Hii ni huduma ya kutuma ujumbe?
• Je! Ni kesi gani za matumizi zinazokusudiwa?
• Huduma hii haipaswi kutumiwa kwa nini?
• Kwa nini usitumie tu PGP / Signal / OMEMO / Matrix / nk?
• Kuna mahitaji gani?
• Je! Mpokeaji anaweza kutoa nakala ya ujumbe?
• Je! Habari yoyote ya kibinafsi imekusanywa?
• Ni habari gani imeingia?
• Je! Unafanya nini kupata seva?
• Je! Kuna hatari gani za usalama wakati wa kutumia wavuti hii?
• Unafanya nini juu ya mashambulio ya mtu katikati (MITM)?
• Je! Vivinjari vya kivinjari vinapeana faida gani?
• Ninawezaje kujua kwa hakika kuwa chochote kilichowasilishwa kimesimbwa kwa njia fiche mwisho-hadi-mwisho?
• Usimbuaji wa mwisho hadi mwisho unafanya kazije kwenye wavuti hii?
• Nenosiri la usimbuaji linaweza kuwa kwenye URL?
• Lakini nywila ya usimbuaji haifai kuwa kwenye URL?
• Huduma hii haitoi kiunga kwa mpokeaji?
• Ninawezaje kulinda faragha yangu kadiri inavyowezekana wakati wa kutumia huduma hii?
• Je! Ikiwa siamini Merika?
• Unafanya nini kuzuia barua taka?
• Kwa nini kuna chaguo kuhitaji mpokeaji kukamilisha CAPTCHA?
• Ni nani anayeendesha huduma hii na kwa nini ni bure?
• Ninawezaje kuamini majibu ya maswali haya hapo juu?

Kwa nini tovuti hii haijatafsiriwa vibaya? ⎃

Samahani, lakini waandishi wa sasa wanazungumza Kiingereza tu. Tunahitaji msaada wa kutafsiri mradi huu katika lugha zingine. Kama njia rahisi na ya bei rahisi kufanya huduma hii ipatikane kwa watu ambao hawazungumzi Kiingereza, tunatumia utafsiri wa mashine. Matokeo kawaida hukubalika, lakini inaweza kusababisha maneno ya kushangaza au hata habari isiyo sahihi. Unaweza kutusaidia kuboresha uzoefu kwa kila mtu - tafadhali wasilisha tafsiri sahihi .

Huduma hii iko salama kiasi gani?

Tumechukua hatua nyingi kufanya huduma hii kuwa salama kwa matumizi yaliyokusudiwa . Kabla ya kupitia hatua hizo, ni muhimu kuelewa yafuatayo:

• Ingawa hatuwezi kusoma ujumbe wako kwa sababu ya usimbuaji wa mwisho hadi mwisho , kiunga chaguomsingi kilichozalishwa kina nenosiri / ufunguo ; na kwa hivyo, mtu yeyote aliye na kiunga anaweza kusoma ujumbe wako - pamoja na mtu yeyote anayeweza kuupata.
• Huduma hii ni zana tu ya kuruhusu kutuma mawasiliano ya kudumu kidogo (yaani ujumbe uliosimbwa ambao hufutwa wakati wa kurudishwa) kupitia usafirishaji wa jadi ambao ni wa kudumu zaidi (yaani barua pepe / maandishi / ujumbe wa papo hapo / wavuti / n.k.). Hii inamaanisha kuwa masuala yoyote ya usalama / faragha asili ya usafirishaji uliochaguliwa (yaani barua pepe) hurithiwa unapotumia zana hii .
• Kuna suluhisho zingine zinazopatikana ambazo hutoa usalama bora kulingana na mahitaji yako na mazingira. Faida kuu inayotolewa na huduma hii ikilinganishwa na wengine, ni mahitaji ya chini sana kwa mpokeaji (yaani wanahitaji tu kivinjari cha wavuti na uwezo wa kubofya kiunga).
• Wakati mipangilio chaguomsingi ni kufuta ujumbe unapopatikana, hakuna kitu cha kumzuia mpokeaji kufanya nakala . Kumbuka kuwa hii inatumika kwa suluhisho zote za ujumbe mfupi - ikiwa mpokeaji anaweza kuona ujumbe, unaweza kunakiliwa.
• Mawasiliano yote ya mtandao yanaweza kuathiri usiri wako - unafanya biashara kwa usalama.
• Wavuti ni mazingira yenye changamoto linapokuja suala la usalama kwa sababu ya maswala kadhaa ya kimsingi - hii inatumika kwa wavuti zote. Walakini, kuwa msingi wa wavuti hufanya uthibitisho wa madai yetu kwamba hatuwezi kusoma ujumbe wako iwe rahisi zaidi .
• Tovuti hii na hifadhidata yake ni mwenyeji huko Merika. Tunatumia Cloudflare, kampuni yenye makao yake nchini Merika, kama mtandao-wa-utoaji-wa-mtandao (trafiki yote ya wavuti inapita kwenye mtandao huu).

Lengo letu ni kutoa huduma hii kwa njia ambayo inatoa chaguzi za kuongeza faragha na usalama wako. Hapa kuna hatua kadhaa ambazo tumechukua kulinda habari yako:

• Kutumia huduma hauhitaji habari yoyote ya kibinafsi (yaani jina / barua pepe / simu / n.k.). Hakuna mfumo wa akaunti (yaani kuingia / nywila / n.k.); kwa hivyo, ukiukaji wowote wa data hauwezi kuvuja habari hii.
• Yaliyomo kwenye ujumbe wote yamefichwa kwa mwisho hadi mwisho . Kwa maneno mengine, ufunguo / nenosiri la usimbuaji halitumwa kwetu kamwe. Kwa hivyo, sisi, au mtu mwingine yeyote aliye na hifadhidata, hatuna njia ya kubatilisha na kuona yaliyomo kwenye ujumbe.
• Kila kiingilio kwenye hifadhidata yetu kina wakati wa kuishi kuanzia dakika 1 hadi wiki 2 (chaguomsingi hadi wiki 1). Mara wakati huu umepita, rekodi hufutwa kiatomati. Kwa hivyo, habari yoyote kwenye hifadhidata yetu itafutwa muda mfupi baada ya kuundwa kwake .
• Tunadumisha masaa 24 ya mwisho ya magogo ya seva ya wavuti . Habari yoyote ya IP iliyohifadhiwa kwenye hifadhidata imehifadhiwa kwa usalama na kuifanya iwezekane kutoa IP asili.
• Kanuni zote zinazowezesha huduma hii ni chanzo wazi na inapatikana kwa ukaguzi. Unaweza kuona nambari inayotumia usimbuaji kwa urahisi - ambayo ni fupi kwa makusudi, mafupi, na imetoa maoni.
• Tahadhari kadhaa za kiufundi zinachukuliwa kusaidia kuimarisha usalama - zingine ambazo ni pamoja na:
  • Wavuti hii yote isipokuwa / api ni tuli na haiunga mkono nambari ya seva kwenye kurasa (yaani PHP / JSP / ASP / nk.)
  • Web Crypto API , ambayo ni sehemu ya kivinjari, hutumiwa kusimba maandishi yote ya ujumbe.
  • TLS hutumiwa kusimba mawasiliano kati ya kivinjari chako na seva zetu. Inasaidia kuhakikisha kuwa nambari haiwezi kukataliwa au kurekebishwa katika usafirishaji. TLS 1.3 inasaidiwa, lakini pia tunaunga mkono TLS 1.2 kwa vifaa vya zamani. Toleo za zamani za TLS zimelemazwa kwa sababu sio salama sana.
  • Magogo ya Uwazi wa Cheti hufuatiliwa kwa upotovu wa cheti. Kwa kuongezea tunachapisha sera ya Uidhinishaji wa Mamlaka ya Udhibitishaji (CAA) ili kupunguza hatari ya upotovu wa cheti kisichotarajiwa au kibaya.
  • Tunatumia Usalama Mkali wa Usafiri wa HTTP (HSTS) kuhakikisha kuwa vivinjari huwasiliana kila wakati na seva zetu kwa kutumia itifaki ya TLS. Kwa kuongeza, tunajumuisha vikoa vyetu kwenye orodha za kupakia mapema .
  • Sera kali ya Usalama wa Maudhui inatekelezwa kuzuia shambulio la Msalaba wa Maandishi ya Msalaba (XSS) .
  • Kwa kutumia Sera ya Rasilimali ya Msalaba-Asili, Sera ya Upachikaji Asili ya Msalaba , na Sera ya kopo ya Asili ya Msalaba , tunakataza nambari ya asili ya msalaba ili kusaidia kupunguza dhidi ya mashambulio ya njia-ya-kama ya Specter na Meltdown. Hii pia inatoa kinga dhidi ya maombi mabaya ya asili zingine kwa kutenga muktadha wa kuvinjari peke kwa hati-asili moja.
  • Tunatumia Sera ya Ruhusa ili kuzuia kivinjari kupakia rasilimali ambazo zinaweza kuathiri usiri wako kama vile eneo lako, kamera ya wavuti, maikrofoni, n.k.
  • DNSSEC inatumika kwenye vikoa vyetu vyote kusaidia kupunguza mashambulio ya MITM yenye msingi wa DNS.
  • Tunachukua tahadhari kadhaa kupata seva.
  • Hakuna nambari ya chama cha tatu imepakiwa (yaani jQuery) na rasilimali chache sana zimepakiwa (endelea na kufungua kichupo cha Mtandao katika Zana za Dev kuangalia) - hii inapunguza juhudi zinazohitajika kukaguliwa. Chaguo moja ni ikiwa CAPTCHA inahitajika - ambayo inabeba nambari ya mtu wa tatu kutoka hCaptcha. Walakini, nambari ya hCaptcha inapakia kwenye URL yake mwenyewe ndani ya sheria zake za CSP na wakati wowote haina ufikiaji wowote wa kitu chochote kinachohusiana na ujumbe.
  • Kama njia ya kusaidia kujilinda dhidi ya mashambulio ya MITM , viendelezi vya kivinjari vinapatikana .

Kwa nini nilipokea kiunga hapa na chaguo la kubatilisha ujumbe?

Tunaomba radhi ikiwa kuna makosa katika tafsiri hii . Huduma hii hupitisha tu ujumbe uliosimbwa kwa njia fiche kutoka sehemu moja hadi nyingine na wewe ndiye mpokeaji. Ujumbe utafutwa hivi karibuni. Waendeshaji wa huduma hii hawana njia ya kusoma yaliyomo kwenye ujumbe. Kawaida mtu hutumia huduma hii wakati hawataki yaliyomo ya ujumbe kubaki ndani ya hifadhidata / vifaa / huduma / faili / nk. kama ilivyo kawaida wakati wa kutuma barua pepe / ujumbe wa papo hapo / maandishi / n.k. Iwapo utaamua kusimbua, tafadhali kumbuka yafuatayo:

• Inawezekana kwamba ujumbe utafutwa mara tu baada ya kutumwa kwa kifaa chako kwa usimbuaji. Hii inamaanisha kuwa baada ya kubofya kitufe cha kubatilisha ujumbe, hatuna nakala tena ya kukutumia tena baadaye.
• Sisi kwa utaratibu tunafuta habari zote zilizopokelewa. Ujumbe utafutwa mahali popote kati ya dakika moja hadi wiki mbili baada ya kuundwa - bila kujali ikiwa ujumbe umefutwa. Kwa maneno mengine, ikiwa unahitaji kusoma ujumbe, usisubiri kwa muda mrefu sana kuusimbua.
• Mtumaji anaamini kuwa yaliyomo kwenye ujumbe yanapaswa kushughulikiwa kwa uangalifu. Labda wameonyesha hata kwamba hawataki nakala zilizofanywa. Tafadhali heshimu matakwa yao.
• Ikiwa umehimizwa kwa nenosiri kusimbua ujumbe, usifunge dirisha / kichupo cha kivinjari. Kwa hatua ya kwanza ya risasi kwenye orodha hii, kuna uwezekano hatuwezi kutuma nakala nyingine baadaye. Acha tu dirisha / kichupo cha kivinjari wazi mpaka uweze kuingia nenosiri. Ikiwa utaweka nenosiri lisilo sahihi, utaombwa tena. Nenosiri lazima liingizwe kwa usahihi. Kumbuka kwamba ili kutosheleza mahitaji tofauti ya lugha na nywila, tunakubali herufi nyingi tofauti kwenye nywila.

Unafuta kila kitu kilichowasilishwa kwenye wavuti hii?

Ukweli kwa takataka yetu inaweza nembo ... kila kitu hufutwa muda mfupi baada ya kuipokea. Kufutwa kwa kila kitu ni otomatiki - imeandikwa kwenye seva. Fikiria hivi: kuna aina mbili za habari zilizowasilishwa:

• Ujumbe uliosimbwa kwa njia fiche ambao hatuna njia ya kusimbua yaliyomo
• Maelezo mengine ya asili ya kuwasilisha chochote kwenye wavuti (yaani anwani yako ya IP, n.k.)

Katika kesi ya ujumbe, unaweza kudhibiti tunapozifuta kwa kubainisha:

• Tunapaswa kuweka ujumbe kwa muda gani ikiwa hakuna mtu anayeupata (kuanzia dakika 1 hadi wiki 2 - chaguo-msingi hadi wiki 1).
• Ni mara ngapi ujumbe unapatikana (kuanzia mara 1 hadi 100 - chaguo-msingi hadi mara 1)

Kwa chaguo-msingi, kila kitu juu ya ujumbe hufutwa baada ya kurudishwa mara moja au ina wiki 1 - chochote kitatokea kwanza. Linapokuja suala la kufuta habari zingine zote asili ya kuwasilisha chochote kwenye wavuti (yaani anwani yako ya IP, n.k.), hatuwezi kukupa udhibiti wowote juu ya lini au jinsi inafutwa - tunaifuta tu kila baada ya masaa 24 .

Kwa nini utumie huduma hii?

Huduma hii ni zana ya kusaidia kufanya ujumbe unaotuma / kupokea usiwe wa kudumu. Zaidi ya kile unachowasiliana kwenye mtandao (soga, maandishi, barua pepe, nk) huhifadhiwa na kufutwa mara chache. Mara nyingi, unapofuta kitu, hakijafutwa lakini huwekwa alama kuwa imefutwa na haionyeshwi kwako tena. Mawasiliano yako ya jumla hujilimbikiza mwaka baada ya mwaka katika hifadhidata na kwenye vifaa ambavyo huwezi kudhibiti. Kwa hakika, moja au zaidi ya mashirika / watu / vifaa vinavyohifadhi mawasiliano yako ni hacked na habari yako imevuja. Shida hii imeenea sana hivi kwamba sasa kuna wavuti nyingi ambazo zinafuatilia mashirika ambayo yameathiriwa na kuvuja data ya mtumiaji. Ujumbe wa muda mfupi uliosimbwa kwa njia fiche ni suluhisho rahisi kusaidia kufanya mawasiliano yako yawe ya kudumu. Kila ujumbe uliowasilishwa kwenye tovuti hii una muda wa kuishi kuanzia dakika 1 hadi wiki 2 - mara tu wakati huo ujumbe utakapofutwa. Kwa kuongezea, mipangilio chaguomsingi ni kufuta ujumbe wowote mara tu mpokeaji akiipata. Kwa kuongeza, ujumbe wote umesimbwa kwa njia fiche kutoka kwa kifaa chako hadi kifaa cha mpokeaji. Lengo kuu katika kutumia usimbuaji wa mwisho hadi mwisho ni kuondoa uwezo wetu wa kusoma ujumbe wowote uliowasilishwa na hivyo kuondoa mahitaji kadhaa ya uaminifu. Matokeo ya mwisho ni kwamba sasa ni rahisi kutuma ujumbe uliosimbwa kupitia kiunga rahisi. Ujumbe huo unafutwa muda mfupi baada ya kutuma au baada ya kupatikana. Huna haja ya kusanikisha / kusanidi programu maalum. Sio lazima ufungue akaunti au utoe habari yoyote ya kibinafsi. Mpokeaji sio lazima awe kwenye anwani zako au hata kujua juu ya huduma hii - mahitaji pekee ambayo wanaweza kubofya kiunga.

Je! Hii ni huduma ya kutuma ujumbe?

Hapana. Huduma hii imeundwa kutimiza huduma zilizopo za utumaji ujumbe kama vile kutuma ujumbe wa papo hapo / barua pepe / maandishi / n.k. kwa kuongeza uwezo wa kuzuia ujumbe uliotumwa kuhifadhiwa kwa muda mrefu. Hatutoi kiunga kilichotengenezwa kwa mpokeaji .

Je! Ni kesi gani za matumizi zinazokusudiwa?

Kwa hivyo ni matukio gani ambapo inafaa kutumia huduma hii? Wakati kila mtu ana mahitaji na mahitaji tofauti linapokuja suala la faragha na usalama wake, mimi binafsi nimepata hali zifuatazo kama kesi zinazofaa za utumiaji:

• Umekuwa ukiwasiliana kupitia jukwaa la wavuti la karibu juu ya njia za baiskeli za milima katika eneo hilo na wakati mwingine hukutana na watu kwenye baraza kuangalia njia mpya pamoja. Mtu kutoka kwa jukwaa anataka kukuchukua mahali pako kwa carpool kwa njia wikendi hii. Hutaki anwani yako ya nyumbani iliyokaa kwenye hifadhidata ya jukwaa la wavuti milele. Tuma tu anwani kupitia huduma hii - kiunga ndicho kinachokaa kwenye hifadhidata ya jukwaa la wavuti, lakini mara tu ikisomwa na mpokeaji, ujumbe / anwani inafutwa.
• Unahitaji kumtumia kaka yako kuingia kwako kwa Netflix kwa sababu mpwa wako anamwongoza wazimu kwa sababu ya kufungwa kwa COVID na bado hana akaunti yake mwenyewe. Haujali sana juu ya kuingia hii, lakini kaka yako ni mbaya haswa kwa kile nitachokiita "usafi wa dijiti" na amepata majaribu mengi na kumbukumbu zilizoingiliwa na zisizo. Jaribio la baadaye la kumfanya asafishe kitendo chake na hata kusanikisha ujumbe salama kwake limeshindwa kushikamana. Kutuma tu kupitia ujumbe wa maandishi labda ni chaguo bora (kwa kusikitisha), lakini hauna wasiwasi kuwa kuingia huko kunakaa kwenye historia ya ujumbe wake kwa sababu ya uzoefu wa zamani. Kutumia huduma hii kutuma kuingia kupitia kiunga kwenye ujumbe wa maandishi kunaridhisha kutoruhusu kuingia nje kwenye historia yake ya gumzo.
• Wakati mwingine unafanya kazi katika ofisi ambayo ina wapangaji wengi wanaoshiriki ambao huja na kwenda kwa masaa yote. Kuna WiFi inayoweza kutumiwa, lakini nywila inazungushwa kila wiki kwani kumekuwa na shida na unyanyasaji. Wapangaji wengi barua pepe / maandishi kuuliza nywila ya WiFi hata ingawa iko kwenye dawati la mbele kwa sababu wengi hawaingii kupitia mlango kuu wa mbele. Kutumia huduma hii, meneja wa ofisi anaweza kutuma nenosiri la WiFi kupitia kiunga kwenye barua pepe / jibu la maandishi linaridhisha kutoruhusu nenosiri kubaki, na pia inamruhusu mpokeaji kunakili nenosiri mara moja kupitia kitufe cha kunakili ambacho ni kidogo sana kwenye vifaa vya rununu.
• Mmoja wa watoaji wako wa mwenyeji anakuuliza maelezo juu ya seva ambayo umeripoti inaonyesha dalili za gari ngumu inayoonekana kuwa mbaya. Baadhi ya habari wanayohitaji ni nyeti kidogo - hutaki ikae milele katika mfumo wa tikiti ya chama cha tatu wanachotumia. Kutumia huduma hii, unaweza kutuma habari kwa mafundi wa usaidizi bila kuishi katika mfumo wa tikiti. Kwa kuwa mafundi wengi wanaweza kuhitaji kurejelea habari hiyo mara kadhaa, weka kusoma-kuishi-kuishi zaidi ya 1 (yaani labda 20) ili ujumbe usifutwe kwenye urejeshi wa kwanza.
• Unahitaji kutuma ujumbe wa faragha kwa mtumiaji mwingine kwenye Reddit ili uwajulishe nambari yako ya simu ili waweze kukupigia. Reddit, kama watoa huduma wengine wengi, imetoa habari ya mtumiaji hapo zamani na hautaki nambari yako ya simu iliyokaa tu kwenye hifadhidata ya Reddit kwa miaka hadi kuvuja kwa pili. Tuma tu nambari yako ya simu kupitia huduma hii.
• Mwenzi wako anakutumia ujumbe ukiwa kazini unataka kuingia kwa huduma kwa sababu rafiki yake alijaribu tu mpango mpya ambao uliokoa pesa zake kwenye bili yake ya umeme na anataka kuiangalia. Kuna msimamizi wa nenosiri la familia unayemkumbusha juu yake, lakini anataka tu utume kuingia. OMEMO imeajiriwa kwa ujumbe wa papo hapo na mwenzi wako na kwa hivyo unajisikia ujasiri sana kuwa usafirishaji wa ujumbe uko salama; Walakini, historia ya gumzo yenyewe imehifadhiwa bila kusimbwa. Mwenzi wako huwa sio mwangalifu kila wakati juu ya upakuaji, barua pepe, nk na bili za matumizi ni nyeti kidogo kwani zinaweza kutumika kwa wizi wa kitambulisho kudhibitisha makazi. Unaweza kumtumia maelezo ya kuingia ukitumia huduma hii ili kuzuia nakala kuhifadhiwa kwenye kompyuta yake.

Huduma hii haipaswi kutumiwa kwa nini?

Huduma hii haipaswi kutumiwa kwa habari nyeti sana kwa sababu zote zilizoelezewa kwenye Maswali haya Yanayoulizwa Sana. Chini ni mifano ya nini usifanye:

• Usitumie huduma hii kufanya usafirishaji wa ujumbe usiofaa "salama zaidi". Kwa sababu mipangilio chaguomsingi ni pamoja na nywila kwenye URL inayoweza kusoma ujumbe, mtu yeyote aliye na kiunga anaweza kusoma ujumbe huo. Kama ilivyoelezwa hapo juu, masuala yoyote ya usalama / faragha asili ya usafiri uliochaguliwa (yaani maandishi) hurithiwa unapotumia zana hii. Kwa hivyo, kwa mfano, ikiwa hautawahi kufikiria kutumia barua pepe kutuma habari maalum kwa sababu ya hali yake ya kupendeza basi haupaswi kutumia huduma hii "kupata" sehemu hiyo ya barua pepe.
• Usitumie huduma hii kuhakikisha kuwa hakuna nakala iliyotengenezwa na ujumbe huo. Kwa sababu tu tunafuta nakala yetu ya ujumbe uliosimbwa mara tu unapopatikana na tunafanya iwe ngumu zaidi kunakili, haimaanishi ujumbe hauwezi kunakiliwa. Je! Ikiwa mpokeaji anachukua picha ya skrini yao? Je! Ikiwa wataandika tu ujumbe? Mwishowe, ikiwa mpokeaji anaweza kusoma ujumbe - nakala inaweza kufanywa.
• Usitumie huduma hii kuhakikisha kuwa ujumbe hauwezi kufuatwa kwako. Huduma hii inategemea mtoaji mwingine wa usafirishaji wa ujumbe (yaani barua pepe, gumzo, n.k.) kupata ujumbe kutoka sehemu moja hadi nyingine. Usafirishaji wa ujumbe ulioajiriwa unaweza kufuatilia ujumbe huo kwako.
• Usitumie huduma hii kutuma chochote unachotaka kukataa kutuma. Kwa sababu tu ujumbe wenyewe umefutwa, haimaanishi kiunga kinachoelekeza kwenye ujumbe uliofutwa kinafutwa. Ukituma barua pepe kwa rafiki yako na sehemu ya barua pepe hiyo ina kiunga cha ujumbe kutoka kwa huduma hii, msomaji wa kawaida atajua kulikuwa na kitu kingine katika ujumbe huo. Hata kama ujumbe unaorejelewa na kiunga umepita zamani - ni wazi kuwa kitu kingine kilitumwa na kwamba kilitumwa na wewe kwa rafiki yako.

Kwa nini usitumie tu PGP / Signal / OMEMO / Matrix / nk?

Ikiwa unamjua mtu unayetaka kutuma ujumbe salama wa muda, mtumie mara nyingi, tarajia kigeuzi-kama chat, na / au anaweza kutarajia mpokeaji awe na programu inayohitajika na kujua jinsi ya kuitumia, wavuti hii labda sio suluhisho bora. Kuna chaguzi nzuri huko nje ambazo ni chanzo wazi, msaada E2EE, sio msingi wa wavuti, na hata zingine kama Ishara ambayo pia inasaidia ujumbe wa muda. Mimi binafsi hutumia seva ya kibinafsi ya XMMP na OMEMO kuzungumza na marafiki wa karibu na familia. Kutumia wavuti hii kunaweza kuwa bora tu ikiwa haujui mpokeaji anaendesha programu gani, hajui nambari ya simu / anwani-ya mawasiliano, hawajui ustadi wao wa kiufundi (lakini fikiria wanaweza kubonyeza kiunga), au unapendelea tu kuweka ujumbe unaotuma nje ya usafirishaji wa mawasiliano ya msingi.

Kuna mahitaji gani?

Kivinjari cha kisasa na cha kisasa kinachotimiza viwango vizuri ikiwa ni pamoja na API ya Wavuti ya Crypto inahitajika. Mifano ni pamoja na: Chrome, Firefox, Edge, na Safari (karibu 2020 au baada).

Je! Mpokeaji anaweza kutoa nakala ya ujumbe?

Ndio. Ingawa ujumbe unaweza kujifuta wakati wa kuupata, bado mpokeaji anaweza kuona ujumbe huo. Wakati wowote mpokeaji anaweza kuona ujumbe kabisa, nakala inaweza kufanywa - hii inatumika kwa mawasiliano yote. Kuna chaguo la kufanya iwe ngumu zaidi kwa mpokeaji kutoa nakala. Katika kesi hii vizuizi vitatu vya kunakili vinatekelezwa:

• Kitufe cha Nakala kimeondolewa. Kitufe hiki ni chaguo-msingi kwa kuruhusu mpokeaji kunakili ujumbe wote kwenye clipboard yao.
• Kitufe cha Kupakua kimeondolewa. Kitufe hiki ni chaguo-msingi kwa kuruhusu mpokeaji kupakua ujumbe kama faili ya maandishi.
• Uwezo wa kuchagua maandishi ndani ya kisanduku cha maandishi huondolewa.

Walakini, kinga hizi za nakala ni dhaifu kwa sababu zinaweza kupitishwa. Pia, mpokeaji anaweza kuchukua tu picha ya skrini au picha ya ujumbe kila wakati.

Je! Habari yoyote ya kibinafsi imekusanywa?

Hatuungi mkono akaunti za watumiaji (jina la mtumiaji / nywila) Hatukusanyi habari yoyote inayoweza kukutambulisha (yaani jina / anwani / barua pepe / simu). Inawezekana kwamba habari zingine za kibinafsi zinaweza kuwa katika ujumbe unaotuma, lakini hiyo imefichwa na hatuna njia ya kuisoma. Tafadhali kagua sera yetu ya faragha kwa maelezo kamili.

Ni habari gani imeingia?

Seva yetu ya wavuti inaendelea hadi masaa 24 ya muundo wa kawaida wa logi kwenye shughuli zote za wavuti. Hii ni pamoja na kuweka anwani kamili ya IP ya wateja wa HTTP. Baada ya masaa 24, habari hii iliyoingia imefutwa kiatomati. Maombi yote yaliyotumwa kwa / api yametumwa kwa maana kwamba hakuna habari maalum ya ujumbe iliyowahi kuingia na seva ya wavuti. Kwa kuongeza, habari yoyote iliyohifadhiwa kwenye hifadhidata imeingia kwa ufanisi. Ingizo zote kwenye hifadhidata, pamoja na anwani za IP ambazo hazijatambulika na zina hesabu, zina wakati wa kumalizika (TTL) baada ya hapo zinafutwa kiatomati. Nyakati za kumalizika muda wa TTL zinatofautiana kati ya dakika 1 na wiki 2.

Je! Unafanya nini kupata seva?

Usalama wa seva ni wasiwasi dhahiri. Kuna sehemu kuu mbili tunazingatia kuiweka salama:

• Kwanza, tunahifadhi kidogo iwezekanavyo kwa wakati mdogo iwezekanavyo ili ikiwa seva imewahi kuathiriwa, kuvuja kwa habari yoyote hakutakuwa na madhara kwa watumiaji wetu. Ujumbe wote uliohifadhiwa kwenye hifadhidata umesimbwa kwa njia fiche bila njia ya kuusimbua. Hakuna chochote kilichohifadhiwa kinachounganisha ujumbe wowote kwa yeyote wa watumiaji wetu kwani hatukusanyi habari yoyote ya kibinafsi kutoka kwa watumiaji wetu. Rekodi zote kwenye hifadhidata zina muda wa kumalizika muda (TTL) kuanzia dakika 1 hadi wiki 2 - baada ya wakati huu kupita rekodi imefutwa kiatomati. Kwa hivyo, habari nyingi ambazo zimewahi kuwa kwenye hifadhidata zilifutwa muda mrefu uliopita.
• Tunachukua hatua kadhaa za kuzuia maelewano na tuna maelewano yoyote yanayotokea:
  • Seva ya wavuti, nginx , inaendeshwa kwenye kontena lililotengwa kama mtumiaji asiye na faida bila kuandika ufikiaji wa kitu chochote isipokuwa magogo. Chombo kinaendesha ndani ya muktadha wake wa SELinux kuzuia zaidi mabadiliko yoyote ya mfumo wa faili au kutoroka rahisi kutoka kwenye chombo. Hakuna msaada kwa PHP / ASP / JSP / nk. - kutumikia tu rasilimali tuli.
  • Nambari inayoendesha / api imeandikwa katika Nenda ambayo inapaswa kuifanya iweze kukabiliana na udhaifu wa kufurika (vector ya kawaida ya shambulio). Mchakato wa Go pia unaendesha kwenye kontena lililotengwa kama mtumiaji asiyejitokeza bila ufikiaji wa kuandika kwa kitu kingine chochote isipokuwa hifadhidata. Chombo kinaendesha ndani ya muktadha wake wa SELinux kuzuia zaidi mabadiliko yoyote ya mfumo wa faili au kutoroka rahisi kutoka kwenye chombo. Hifadhidata, badgerdb , ni sehemu ya mchakato wa Nenda (hakuna utegemezi / mchakato wa hifadhidata ya nje).
  • Hatari kuu ya maelewano ya seva ni kwamba mshambuliaji anaweza kurekebisha faili kwa njia ambayo inaweza kuathiri usiri / usalama wa watumiaji wetu. Mchakato wa kujitolea huangalia faili zote za wavuti kwa mabadiliko yoyote na hututahadharisha mara moja ikiwa kuna mabadiliko yoyote.
  • Ufikiaji wote wa kiutawala unalindwa na unazuiliwa kwa mitandao iliyoidhinishwa.

Je! Kuna hatari gani za usalama wakati wa kutumia wavuti hii?

Kabla ya kushughulikia moja wapo ya hatari hizi, nadhani mlinganisho mfupi-mfupi unaweza kusaidia kufupisha hatari katika kutumia mawasiliano yoyote ya mtandao. Taswira kuwa mfumo wowote uko salama tu kama kiunganishi dhaifu katika mnyororo. Sasa fikiria hali ambapo kuna watu wawili kwenye chumba kilichotiwa muhuri bila njia ya kuona, kusikia, au kurekodi chochote wanachofanya. Mmoja atapitisha ujumbe kwa yule mwingine atakayesoma ujumbe atauteketeza. Ikiwa mtu nje ya chumba hicho anataka kupata ujumbe ambao ulikuwa umepitishwa tayari, hiyo itakuwa ngumu. Je! Ni kiunga gani dhaifu kupata ujumbe? Hakuna viungo vingi vya kuchagua - ni mnyororo mfupi sana. Sasa fikiria kwamba unapotuma ujumbe kwenye mtandao kuwa kuna viungo angalau milioni kwenye mnyororo - nyingi zikiwa dhaifu - nyingi zikiwa nje ya uwezo wako - na huo ndio ukweli.

Kutumia usimbuaji inaweza kusaidia sana na shida ya kiungo hapo juu milioni na ni rahisi kushawishiwa kufikiria kuwa mifumo iliyoundwa E2EE hutoa suluhisho la mwisho. Walakini, kufikiria huko kunaweza kukuingiza katika shida, kwa sababu mshambuliaji kawaida atafuata tu viungo dhaifu kwenye mfumo. Kwa mfano, labda ni rahisi zaidi kuchukua simu yako au kompyuta na kusanikisha logger ya kuingiza kusoma tu kila kitu unachoandika kuliko kupasua ujumbe uliosimbwa kwa waya. Jambo kuu ni kwamba ikiwa ningepewa jukumu la kuwasiliana na siri muhimu sana / muhimu, nitatumia tu mawasiliano ya elektroniki kama njia ya uamuzi wa mwisho.

Kwa hivyo kuna hatari za usalama kwa kutumia mawasiliano yoyote, lakini bado unatumia kivinjari cha wavuti kwa benki, kununua vitu, barua pepe, nk. Ni hatari inayokubalika kwa urahisi mkubwa uliopatikana. Kwa kweli swali ni ... ni hatari gani za usalama ambazo ni maalum kwa tovuti hii? Wachache wanakumbuka:

• Labda hatari kubwa na ya kipekee zaidi kwa huduma hii ni kwamba watumiaji wetu hawatatumia busara wakati wa kugundua kati ya nini inafaa kutuma na ambayo haifai kutuma . Wakati mwingine tofauti kati ya "Niko sawa kutuma barua pepe hii - ninatamani tu barua pepe ifutwe baada ya kusoma" na "Siko sawa kutuma barua pepe hii - barua pepe ni usafiri usiofaa" inaweza kuwa ya hila sana.
• Daima kuna tishio kwamba waendeshaji wa wavuti hii ni watendaji wabaya wanaowashawishi watu kutumia huduma hiyo kupata lengo la mwisho la giza. Tunakutana na mtu anayeaminika kuaminika - fanya kila kitu iwe rahisi na bure - pata watu wengi wanaotumia huduma hiyo - wakati wote na nia mbaya. Bwhahahahaha! Je! Unawezaje kutuamini?
• Kuna nafasi kwamba nambari yetu ina mende zinazoathiri usalama au hatukufikiria mambo vizuri na mapungufu yetu sasa yanawaweka watumiaji wetu kwenye hatari isiyo ya lazima. Tuna hakika hatutumainii - lakini hatuwezi kuiondoa.
• Tofauti na wataalam wa teknolojia (yaani Google / Facebook / Whatsapp) ambao wana milango ya data iliyosimbwa inayotiririka ndani na nje ya mitandao yao mikubwa, ambapo ni rahisi kuwa na mawasiliano ya faragha yakichanganyika na trafiki zingine, huduma za msingi za moja kwa moja (yaani Signal, Telegram, na sisi) tunasimama. Ni rahisi kwa mwendeshaji wa mtandao au shirika kubwa / serikali kuona kwamba anwani ya IP ya xxxx inatumia huduma ya XYZ.
• Ingawa sio maalum kwa wavuti hii, kwani inaweza kutumika dhidi ya wavuti yoyote, mashambulio ya watu wa katikati (MITM) ni wasiwasi halali .

Unafanya nini juu ya mashambulio ya mtu katikati (MITM)?

Watumiaji wote wa wavuti wanaweza kuwa wahasiriwa wa shambulio la MITM - tovuti hii sio tofauti kuliko wengine wote kwenye wavuti katika suala hili. Shambulio la MITM ni wakati mshambuliaji anaweza kukatiza na kurekebisha mawasiliano kati ya kivinjari cha mtumiaji na seva ya wavuti ya wavuti. Hii inaruhusu mshambuliaji kurekebisha nambari / yaliyomo kwenye wavuti hii wakati bado anaonekana kwa mtumiaji wa mwisho kuwa tovuti ambayo wamezoea. Tunachukua hatua kadhaa kufanya shambulio la MITM kuwa gumu zaidi:

• HSTS hutumiwa kulazimisha vivinjari kuungana tu kupitia TLS. Seva yetu imeundwa kupuuza mawasiliano yasiyo ya TLS isipokuwa kuelekeza tena. Ni TLS 1.2 au zaidi tu zinazoungwa mkono.
• DNSSEC hutumiwa kusaini eneo la kikoa chetu. Hii inaweza kuzuia utapeli wa DNS uliotekelezwa mashambulio ya MITM ikiwa mtumiaji atatumia suluhisho la kujirudia la DNSSEC.
• Tunatumia huduma kufuatilia mamlaka ya cheti ikitoa vyeti vyovyote visivyoidhinishwa vya TLS vinavyoashiria uwanja wetu.
• Tumechapisha viendelezi vya kivinjari ili kusaidia usimbuaji wa ujumbe kwa kutumia nambari iliyohifadhiwa kwenye kifaa cha mtumiaji wa mwisho.

Walakini, shambulio la MITM bado linawezekana kila wakati - haswa ikiwa mshambuliaji anadhibiti mtandao / miundombinu muhimu ya umma kama itakavyokuwa kwa mashirika makubwa / yenye nguvu au serikali. Tunatoa viongezeo vya kivinjari ambavyo vinaweza kusaidia kupunguza hatari kadhaa za MITM.

Je! Vivinjari vya kivinjari vinapeana faida gani?

Tunatoa viendelezi vya kivinjari kama njia ya kutoa urahisi zaidi na usalama wa ziada. Weka tu ... Viendelezi hufanya kutuma ujumbe wa muda haraka na rahisi. Usalama mwingine pia unapatikana kwa sababu nambari zote zinazotumiwa kusimba na kuandaa ujumbe huhifadhiwa ndani ya kiendelezi. Kwa sababu nambari imehifadhiwa mahali hapa, hii humpa mtumaji kinga fulani dhidi ya mashambulio ya MITM . Walakini, inafaa kuashiria kuwa wakati viendelezi vinatoa ulinzi zaidi dhidi ya shambulio la MITM ambalo linahatarisha yaliyomo kwenye ujumbe, shambulio la MITM bado linaweza kuwa na ufanisi (yaani kuamua anwani ya IP ya mtumaji ikiwa haitumii TOR / VPN / nk.).

Ninawezaje kujua kwa hakika kuwa chochote kilichowasilishwa kimesimbwa kwa njia fiche mwisho-hadi-mwisho?

Tofauti na wateja wengine wengi maarufu wa mwisho-kwa-mwisho waliosimbwa kwa njia fiche (E2EE), ni rahisi kuona haswa kile tunachotumwa wakati unawasilisha ujumbe. Mafunzo ya video hapa chini yanaonyesha jinsi ya kudhibitisha kuwa hatuna njia ya kubatilisha ujumbe uliotumwa kwa seva.

Pia, ikiwa unafikiria juu yake, maadamu sisi sio wakala wa siri kujaribu kukusanya ujumbe nyeti, hakuna faida kwetu kuweza kutamka ujumbe kwa kuwa kuwa na uwezo huo kunatuletea shida. Hatutaki hata kuhifadhi ujumbe - ni uovu wa lazima kuwasilisha hata hivyo.

Usimbuaji wa mwisho hadi mwisho unafanya kazije kwenye wavuti hii?

Kwa wakati huu, tunatumia usimbaji fiche wa ulinganifu (AES-GCM 256bit) na funguo zinazotokana na nywila (kiwango cha chini cha 150,000 za PBKDF2 / SHA-256). Usimbaji fiche wa asymmetric hautumiwi kwa sababu mahitaji yapo kwa 1) mtumaji anayeanzisha mawasiliano 2) mtumaji na mpokeaji kutokuwa mkondoni kwa wakati mmoja na 3) hakuna habari juu ya mpokeaji na 4) tunajaribu kuweka mambo rahisi na usimamizi muhimu ni ngumu. API ya kiwango ya Wavuti ya Mtandao hutumiwa kwa utendaji wote wa kielelezo ikiwa ni pamoja na RNG. Kimsingi, hii ndio kinachotokea:

1. Mtumiaji huchagua nywila au moja imetengenezwa kiotomatiki
2. Simu ya API inafanywa ili kupata idadi ya uandikishaji unaohitajika wa PBKDF2 / SHA-256 ( hatua hii inahitajika kwa udhibiti wa barua taka )
3. Chumvi ya byte 32 hutengenezwa
4. Ufunguo umetokana na chumvi na nywila
5. Vector 12 ya uanzishaji wa baiti (IV) hutengenezwa
6. Ujumbe umesimbwa kwa njia fiche kwa kutumia kitufe + IV
7. Hesabu ya iteration, chumvi, IV, na maandishi ya maandishi hutumwa kwa seva (pamoja na habari zingine kama TTL, RTL, n.k.)
8. Seva inarudi kitambulisho bila mpangilio ikimaanisha ujumbe
9. Kivinjari kisha kinampa mtumiaji wa mwisho kiunga ambacho kina kitambulisho kilichorudishwa na nywila au kiunga bila nywila (kwa hali hiyo mpokeaji lazima ajue na aingie nywila)
10. Ikiwa nenosiri ni sehemu ya kiunga, iko kwenye hashi ya URL, na kwa hivyo haikutumwa kwa seva wakati mpokeaji atafanya ombi la GET
11. Mpokeaji anachochewa ikiwa anataka kusimbua na kutazama ujumbe
12. Kivinjari hufanya ombi kubainisha kitambulisho cha ujumbe
13. Ikiwa mtumaji anahitaji kukamilika kwa CAPTCHA, mpokeaji anaelekezwa kwa URL nyingine kudhibitisha kuwa wao ni wanadamu (mara wanapopita huelekezwa nyuma)
14. Seva hutuma ujumbe uliosimbwa kwa njia fiche na kwa kawaida itafuta ujumbe huo wakati huu ikiwa kusoma-kwa-kuishi (RTL) ni moja
15. Mpokeaji atasimbua ujumbe kwa kutumia nenosiri (na ataombwa nywila ikiwa haiko kwenye URL)

Usanidi huu ni rahisi sana, na hutoa usimbuaji wa ujumbe kutoka kwa kifaa cha mtumaji kwenda kwa kifaa cha mpokeaji, lakini kwa kweli hauna dhamana kwamba usimbuaji wa asymmetric unaweza kutoa kwa kumjua tu mtu aliye na ufunguo wa faragha wa mpokeaji anaweza kuficha ujumbe Mtu yeyote aliye na kiunga anaweza kufungua ujumbe katika hali chaguomsingi ambayo nywila ni sehemu ya URL - hii inasisitiza umuhimu wa kutumia usafiri unaofaa kwa kiunga (yaani barua pepe / mazungumzo / maandishi / n.k.) - uamuzi ulioachwa kwa mtumaji. Tunaweza, ikiwa kuna maslahi, pia tutoe msaada kwa mpango wa kimsingi wa asymmetric ambao mpokeaji huanzisha ombi la ujumbe na kutuma kiunga cha ombi kwa mtumaji wa ujumbe. Usanidi huu utaondoa hitaji la kuwa na nywila kwenye URL, lakini pia huondoa uwezo wa mtumaji kuanzisha.

Nenosiri la usimbuaji linaweza kuwa kwenye URL?

Ndio. Hii ni wazi inaathiri usalama kwa sababu ikiwa njia inayotumiwa kupeleka kiunga haina usalama, ujumbe huo hauna usalama na ushirika. Kazi zote za kumaliza suala hili zinaanzisha hatua za ziada na ugumu ambao huathiri uzoefu wa mtumiaji (yaani mambo yanapaswa kusanidiwa kwa ncha zote kabla ya kutuma ujumbe). Mpango usio na kipimo ambapo mpokeaji anaanzisha ombi la ujumbe na kutuma kiungo hicho cha ombi kinaweza kufanya kazi na mahitaji yetu muhimu ya "kila kitu ni ya muda" - hii inaweza kutekelezwa. Mwishowe, ikiwa pande mbili zitakuwa zikitumiana ujumbe mara kwa mara, suluhisho bora zipo kwa kudhani pande zote mbili zinaweza kushughulikia suluhisho hizo.

Lakini nywila ya usimbuaji haifai kuwa kwenye URL?

Sahihi. Ikiwa nenosiri la usimbuaji halikujumuishwa kwenye kiunga, basi mpokeaji atasisitizwa kwa nenosiri. Ikiwa nenosiri linawasilishwa kwa usalama kwa mpokeaji (au tayari wanaijua), hii hutoa ulinzi dhidi ya kukatiza. Walakini, ubaya ni kwamba mpokeaji lazima ajue na aandike nenosiri kwa usahihi. Hapa kuna njia moja ya kutuma nywila kwa mpokeaji ambayo inatoa kinga dhidi ya kukatizwa:

1. Ficha nenosiri kwa ujumbe na mipangilio chaguomsingi na tuma kiunga hiki kwa mpokeaji.
2. Wakati mpokeaji anabofya kiunga na kusimbua ujumbe, wanajua hakuna mtu mwingine aliyepata nywila mbele yao kwa sababu ujumbe ulio na nywila hiyo unafutwa wakati wa kurudishwa. Walakini, ikiwa kuna shambulio la MITM au ikiwa kifaa chako au kifaa cha mpokeaji kimeathiriwa, basi inawezekana mtu mwingine anaweza kupata nenosiri.
3. Thibitisha na mpokeaji kuwa wamefanikiwa kupata nenosiri. Kwa mfano.
4. Kutumia nywila mpokeaji alithibitisha anayo, sasa unaweza kutuma ujumbe ukitumia nywila sawa kwa usimbuaji - shiriki tu toleo la kiunga ambacho hakina nenosiri.

Huduma hii haitoi kiunga kwa mpokeaji?

Hiyo ni sahihi - tunazalisha kiunga na kumwachia mtumaji jinsi bora ya kuipeleka kwa mpokeaji. Lengo la huduma hii ni kutoa chaguo kutoa kudumu kidogo katika usafirishaji wa ujumbe uliopo kama barua pepe / mazungumzo / maandishi / n.k. Kwa hivyo, matarajio ni kwamba kiunga tunachotengeneza ambacho kinaelekeza ujumbe wa muda hutumwa kupitia usafirishaji wa ujumbe uliopo. Hii ina maana ya usalama ambayo watumiaji wanapaswa kuelewa. Wacha tuchukue ujumbe mfupi wa maandishi kama mfano kwani hii ni njia salama ya mawasiliano. Unapotumia huduma hii kutuma kiunga cha ujumbe wa muda kupitia ujumbe wa maandishi, ikiwa unatumia hali chaguomsingi ambayo nywila imejumuishwa kwenye kiunga, mtu yeyote aliye na kiunga anaweza kusoma ujumbe na hakuna kinga dhidi ya kukatizwa inayotolewa. Huduma hii bado inatoa mawasiliano ya muda zaidi ambayo inaweza kuongeza faragha na usalama. Kwa kuongeza, unaweza kuchagua kutuma kiunga bila nywila na hii itakupa kinga dhidi ya kukatiza.

Ninawezaje kulinda faragha yangu kadiri inavyowezekana wakati wa kutumia huduma hii?

Kama ilivyojadiliwa mahali pengine kwenye Maswali haya, ingawa tayari tunafanya mengi kulinda faragha yako na ingawa hatukusanyi habari yoyote ya kibinafsi, habari zingine zinazohusiana na kumbukumbu huwasilishwa na kukusanywa na sisi na wengine kwa sababu ya wewe kutumia kivinjari. Walakini, kuna njia nyingi za kulinda faragha yako zaidi. Njia moja ambayo ni bure kutumia, kulingana na programu wazi ya chanzo, na inafanya kazi vizuri ni kutumia Kivinjari cha Tor . Kivinjari hiki kimeundwa kulinda faragha yako katika viwango anuwai - pamoja na kutumia mtandao wa Tor . Tovuti yetu tayari inapatikana kupitia mtandao wa vitunguu ya Tor ambayo inamaanisha kupata tovuti yetu kupitia Tor haihitaji utumiaji wa njia ya kutoka, ambayo inakanusha mtu anayesikiliza trafiki ya node ya kutoka . Walakini, kumbuka kuwa hata katika hali hii, ISP yako inaweza kuona kuwa unatumia Tor - ingawa sio ya nini. Unaweza hata kuungana na VPN na kisha uzindue Kivinjari cha Tor kwa safu mbili za kutokujulikana; Walakini, kumbuka kuwa ISP yako bado inaweza kuona unatumia VPN katika hali hii - ingawa sio ya nini. Ikiwa hautaki ISP yako kujua ni nini itifaki unazotumia, unaweza kuungana na mtandao mkubwa wa umma wa WiFi kama maktaba, shule, n.k kisha utumie kivinjari cha Tor.

Je! Ikiwa siamini Merika?

Seva zetu ziko Merika. Kwa kuongeza, mtoa huduma wetu wa CDN, Cloudflare, ni kampuni iliyoko Merika. Tumejaribu kuondoa hitaji la kutuamini sisi au nchi ambayo seva zetu zinakaa kwa sababu hatujakusanya habari za kibinafsi, haziwezi kusimba ujumbe wowote, na kila kitu hufutwa muda mfupi baada ya kupokelewa. Walakini, tunaweza kuelewa kutokuaminiana kwa kuwa ni msingi wa wavuti na haswa ikiwa unaishi katika nchi fulani. Tuna mipango kadhaa ya kutoa chaguzi huko Iceland na Uswizi kwa watu ambao wana wakati mgumu kuiamini Amerika. Tafadhali tujulishe ikiwa hii inakuhusu, kwani hatutachochewa kutoa njia mbadala isipokuwa kuna mahitaji halisi.

Unafanya nini kuzuia barua taka?

Wakati wowote unamruhusu mtu atume ujumbe ambao unaweza kupelekwa kupitia kiunga, unaalika watumaji barua taka. Kukomesha shida hii sio moja kwa moja kabisa. Hatutaki kupakia mtu wa tatu CAPTCHA kama sehemu ya mchakato wa kutuma ujumbe kwa sababu kadhaa:

• Tunachukia CAPTCHA - zinachukua muda na zinaudhi
• Kupakia javascript ya mtu wa tatu kunaweza kuathiri faragha na usalama
• Kuendesha CAPTCHA yetu mwenyewe inamaanisha kuwa tunajiandikisha kwa mchezo usio na mwisho wa whack-a-mole
• Mwishowe watu wanaweza kutaka kuweza kuingiliana na huduma hii kupitia API

Tunaweza kuzunguka shida ya API kupitia kutumia mfumo muhimu wa API, lakini basi lazima tukusanye habari ya mtumiaji ambayo hatutaki kufanya. Pia, ni nini cha kuzuia spammers kupata funguo nyingi za API? Hatuwezi kuchunguza ujumbe ili kudhihirisha utapeli wao (ambao ni shida sana) kwani, isipokuwa tu kusimba ujumbe, tuna sera ya kukomesha yaliyomo kwenye ujumbe. Kwa kuzingatia mahitaji haya, tunatumia njia mbili za kuzuia barua taka:

• Kuongeza idadi ya hesabu zinazohitajika za PBKDF2 / SHA-256
  Ujumbe wote unaweza kupatikana tu kwa idadi ndogo ya nyakati - sifa ambayo haivutii kwa woga wa barua taka kwani wanategemea kutuma ujumbe mwingi. Kwa kuwa mtumaji barua taka atalazimika kuunda ujumbe mwingi kwa kampeni yoyote ya barua taka - tumechagua kuifanya kazi hii kuwa ya bei ghali sana kwa kutumia vibaya huduma hii kwa barua taka kuwa jambo lisilopendeza. Hii inafanikiwa kwa kuweka wimbo wa mitandao inayotuma ujumbe - uliopimwa kwa jumla ya uwezekano wa kupatikana tena. Habari ya mtandao yenyewe imehifadhiwa kwa usalama ili hatuwezi kuingiza mtandao halisi kutoka kwa hashi. Kama machapisho ya mtandao yaliyopewa ujumbe zaidi, tunaongeza idadi ya uandikishaji wa PBKDF2 / SHA-256 unaohitajika kutuma ujumbe unaofuata. Hii haraka sana husababisha muda mwingi wa CPU kuhitajika tu kutuma ujumbe mmoja. Tunatumahi kuwa njia hii itakuwa ya kutosha kuzuia unyanyasaji wa barua taka na wakati huo huo, haitaathiri watumiaji halisi.
• Kukusanya ripoti za barua taka kutoka kwa watumiaji wanapopata ujumbe
  Kuna kitufe cha "Ripoti Taka" chini ya ujumbe wakati mtumiaji anapata ujumbe. Ikiwa ujumbe ni barua taka, tunatumahi kuwa wengine watachukua sekunde 3 zinazohitajika kubonyeza kitufe hicho. Tunapopokea ripoti ya barua taka, inatuonya na pia inaathiri athari zinazohitajika za PBKDF2 / SHA-256 kwa mtandao uliopewa.

Ikiwa unajua kuwa watumaji taka wanatumia vibaya huduma hii, tafadhali wasilisha ripoti ya dhuluma .

Kwa nini kuna chaguo kuhitaji mpokeaji kukamilisha CAPTCHA?

Ingawa ni kweli kwamba hatupendi CAPTCHA, tunatambua kuwa hutimiza kusudi na wana wakati na mahali (angalau kwa sasa). Hii ni njia rahisi kwa mtumaji kupata hakikisho kwamba mpokeaji ni mwanadamu na kwamba michakato ya kiotomatiki haifikii ujumbe.

Ni nani anayeendesha huduma hii na kwa nini ni bure?

Sisi ni wavulana tu ambao wakati mwingine walikuwa wanakabiliwa na shida ya kutokuwa na chaguzi nzuri za kusaidia kulinda faragha yetu. Mara nyingi hii ilitokana na kuwasiliana na marafiki na wanafamilia ambao hawakuwa makini sana na jinsi wanavyoshughulikia vifaa na habari zao. Wakati mwingine hii ilitokea wakati wa kutumia vikao vya wavuti kama Reddit au kutumia mifumo ya msaada ya wavuti. Tulipata suluhisho za ujumbe wa muda mfupi wa wavuti, lakini hakuna iliyotoa E2EE ambayo ilimaanisha hatuwezi kuwaamini. Kwa hivyo tuliunda suluhisho letu wenyewe na tukaamua kuipatia ili wengine wafaidike nayo.

Ninawezaje kuamini majibu ya maswali haya hapo juu?

Kwa kweli haupaswi kuamini wavuti yoyote kwa sababu tu inasema vitu kadhaa - kawaida ni wazo nzuri kudhibitisha madai yoyote. Tumejaribu kuondoa hitaji la kutuamini kadiri inavyowezekana kupitia kutumia usimbaji fiche wa mwisho hadi mwisho. Kwa mfano, ni rahisi sana kukagua kwamba hatuwezi kusoma ujumbe wowote kwa kuwa wamefichwa . Pia tumeweka msimbo wa javascript unaoendesha tovuti hii rahisi sana ili iwe rahisi kusoma na kuelewa. Kufanya chanzo wazi kificho huruhusu watu kudhibitisha kile kinachoendesha; Walakini, kumbuka hakuna njia yoyote ya kudhibitisha kile seva inaendesha. Ingawa ni kweli kwamba mahitaji mengi ya uaminifu yanaondolewa kwa usimbuaji wa mwisho hadi mwisho, bado ni jambo ambalo watumiaji wetu wanapima wakati wa kuamua kutumia huduma hii au la.