Sıkça Sorulan Sorular

• Bu site neden kötü çevrilmiş? ⎃
• Bu hizmet ne kadar güvenli?
• Neden burada bir mesajın şifresini çözme seçeneği olan bir bağlantı aldım?
• Bu siteye gönderilen her şeyi sildiniz mi?
• Neden bu hizmeti kullanıyorsunuz?
• Bu bir mesajlaşma servisi mi?
• Amaçlanan kullanım durumları nelerdir?
• Bu hizmet ne için kullanılmamalıdır?
• Neden sadece PGP/Signal/OMEMO/Matrix/vb. kullanmıyorsunuz?
• Hangi gereksinimler var?
• Alıcı mesajın bir kopyasını alabilir mi?
• Herhangi bir kişisel bilgi toplanıyor mu?
• Hangi bilgiler günlüğe kaydedilir?
• Sunucuların güvenliğini sağlamak için ne yapıyorsunuz?
• Bu siteyi kullanırken hangi güvenlik riskleri mevcuttur?
• Ortadaki adam (MITM) saldırıları hakkında ne yapıyorsunuz?
• Tarayıcı uzantıları ne gibi avantajlar sunar?
• Gönderilen herhangi bir şeyin uçtan uca şifreli olduğundan nasıl emin olabilirim?
• Bu sitede uçtan uca şifreleme nasıl çalışır?
• Şifre çözme şifresi URL'de olabilir mi?
• Ancak şifre çözme şifresinin URL'de olması gerekmez mi?
• Bu hizmet bağlantıyı alıcıya teslim etmiyor mu?
• Bu hizmeti kullanırken gizliliğimi mümkün olduğunca nasıl koruyabilirim?
• Amerika Birleşik Devletleri'ne güvenmezsem ne olur?
• Spam'i önlemek için ne yapıyorsunuz?
• Alıcının bir CAPTCHA tamamlamasını zorunlu kılma seçeneği neden var?
• Bu hizmeti kim çalıştırıyor ve neden ücretsiz?
• Yukarıdaki soruların cevaplarına nasıl güvenebilirim?

Bu site neden kötü çevrilmiş? ⎃

Üzgünüz, ancak şu anki yazarlar yalnızca İngilizce konuşuyor. Bu projeyi diğer dillere çevirmek için yardıma ihtiyacımız var. Bu hizmeti İngilizce bilmeyen kişilere sunmak için basit ve ucuz bir yol olarak, makine çevirisini kullanıyoruz. Sonuçlar genellikle kabul edilebilir ancak garip ifadelere ve hatta tamamen yanlış bilgilere neden olabilir. Herkes için deneyimi iyileştirmemize yardımcı olabilirsiniz - lütfen doğru çeviriyi gönderin .

Bu hizmet ne kadar güvenli?

Bu hizmeti amaçlanan kullanım için güvenli hale getirmek için birçok adım attık. Bu adımları gözden geçirmeden önce, aşağıdakileri anlamak önemlidir:

• Uçtan uca şifreleme nedeniyle mesajınızı okuyamasak da , oluşturulan varsayılan bağlantı şifre çözme şifresini/anahtarını içerir ; ve bu nedenle, bağlantıya sahip olan herkes mesajınızı okuyabilir - buna müdahale edebilen herkes dahil.
• Bu hizmet, daha kalıcı olan geleneksel aktarımlar (örn. e-posta/metin/anlık mesajlaşma/web sitesi/vb.) yoluyla daha az kalıcı iletişimlerin (örn. alındığında silinen şifreli mesajlar) gönderilmesine izin veren bir araçtır. Bu, bu aracı kullandığınızda , seçilen aktarıma (yani e-posta) özgü güvenlik/gizlilik sorunlarının devralındığı anlamına gelir.
• İhtiyaçlarınıza ve ortamınıza bağlı olarak daha iyi güvenlik sunan başka çözümler de mevcuttur. Bu hizmetin diğerlerine kıyasla sunduğu ana avantaj , alıcı için çok daha düşük gereksinimlerdir (yani, yalnızca bir web tarayıcısına ve bir bağlantıyı tıklatabilmelerine ihtiyaç duyarlar).
• Varsayılan ayar, mesajların alındıktan sonra silinmesi olsa da , alıcının bir kopya oluşturmasını durduracak hiçbir şey yoktur . Bunun tüm geçici mesaj çözümleri için geçerli olduğunu unutmayın - alıcı mesajı görebilirse kopyalanabilir.
• Tüm İnternet iletişimleri gizliliğinizi tehlikeye atabilir - kolaylık sağlamak için bir miktar güvenlik ticareti yapıyorsunuz.
• Web, bazı temel sorunlar nedeniyle güvenlik söz konusu olduğunda zorlu bir ortamdır - bu, tüm web siteleri için geçerlidir. Ancak, web tabanlı olmak , mesajınızı okuyamayacağımız iddiamızı doğrulamayı çok daha kolay hale getiriyor .
• Bu web sitesi ve veritabanı Amerika Birleşik Devletleri'nde barındırılmaktadır. İçerik dağıtım ağımız olarak Amerika Birleşik Devletleri merkezli bir şirket olan Cloudflare'ı kullanıyoruz (tüm web trafiği bu ağdan geçer).

Amacımız, bu hizmeti gizliliğinizi ve güvenliğinizi artıracak seçenekler sunan bir şekilde sunmaktır. Bilgilerinizi korumak için attığımız bazı adımlar şunlardır:

• Hizmeti kullanmak herhangi bir kişisel bilgi gerektirmez (örn. isim/e-posta/telefon/vb.). Hesap sistemi yoktur (yani oturum açma/şifre/vb.); bu nedenle, herhangi bir veri ihlali bu bilgileri sızdıramaz.
• Tüm mesaj içeriği uçtan uca şifrelenmiştir . Başka bir deyişle, şifre çözme anahtarı/şifresi bize asla gönderilmez. Bu nedenle, bizim veya veritabanına sahip olan herhangi birinin mesaj içeriğini şifresini çözmek ve görüntülemek için hiçbir yolu yoktur.
• Veritabanımızdaki her girişin 1 dakika ile 2 hafta (varsayılan olarak 1 hafta) arasında değişen bir yaşam süresi vardır. Bu süre geçtikten sonra kayıt otomatik olarak silinir. Bu nedenle, veritabanımızdaki herhangi bir bilgi, oluşturulduktan kısa bir süre sonra silinecektir .
• Yalnızca son 24 saatlik web sunucusu günlüklerini tutuyoruz . Veritabanında saklanan tüm IP bilgileri, orijinal IP'nin çıkarılmasını imkansız hale getirecek şekilde güvenli bir şekilde hashlenir.
• Bu hizmete güç sağlayan tüm kodlar açık kaynak kodludur ve incelemeye açıktır. Bilerek kısa, özlü ve yorumlanmış olan şifrelemeyi çalıştıran kodu kolayca görebilirsiniz.
• Güvenliği güçlendirmeye yardımcı olmak için bir dizi teknik önlem alınmıştır - bunlardan bazıları şunlardır:
  • /api dışındaki bu web sitesinin tamamı statiktir ve sayfalardaki sunucu kodunu desteklemez (örn. PHP/JSP/ASP/vb.)
  • Tarayıcının bir parçası olan Web Crypto API , tüm mesaj içeriğini şifrelemek için kullanılır.
  • TLS, tarayıcınız ve sunucularımız arasındaki iletişimi şifrelemek için kullanılır. Kodun geçiş sırasında ele geçirilememesi veya değiştirilmemesinin sağlanmasına yardımcı olur. TLS 1.3 desteklenir, ancak daha eski cihazlar için TLS 1.2'yi de destekliyoruz. TLS'nin eski sürümleri, güvenli olmadıkları için devre dışı bırakılır.
  • Sertifika Şeffaflığı günlükleri, sertifika yanlışlığı için izlenir. Ayrıca, istenmeyen veya kötü niyetli sertifika suistimali riskini azaltmak için bir Sertifika Yetkilisi Yetkilendirmesi (CAA) politikası yayınlıyoruz.
  • Tarayıcıların her zaman TLS protokolünü kullanarak sunucularımızla iletişim kurmasını sağlamak için HTTP Strict Transport Security (HSTS) kullanıyoruz. Ek olarak, alanlarımızı ön yükleme listelerine dahil ederiz.
  • Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırılarını önlemek için katı bir İçerik Güvenliği Politikası uygulanır.
  • Bir Çapraz Kaynaklı Kaynak Politikası , bir Çapraz Kaynaklı Yerleştirici Politikası ve bir Çapraz Kaynaklı Açıcı Politikası kullanarak , Spectre ve Meltdown gibi spekülatif yan kanal saldırılarına karşı hafifletmeye yardımcı olmak için çapraz menşe kodunu yasaklarız. Bu ayrıca, tarama bağlamını yalnızca aynı kaynak belgelere ayırarak diğer kaynaklardan gelen potansiyel olarak kötü niyetli isteklere karşı koruma sağlar.
  • Tarayıcının konumunuz, web kamerası, mikrofon vb. gibi gizliliğinizi tehlikeye atabilecek kaynakları yüklemesini önlemek için bir İzin Politikası kullanıyoruz.
  • DNSSEC , DNS tabanlı MITM saldırılarını azaltmaya yardımcı olmak için tüm etki alanlarımızda kullanılmaktadır.
  • Sunucunun güvenliğini sağlamak için bir dizi önlem alıyoruz.
  • Hiçbir 3. taraf kodu yüklenmez (yani jQuery) ve çok az kaynak yüklenir (devam edin ve kontrol etmek için Geliştirme Araçları'nda Ağ sekmesini açın) - bu, denetleme için gereken çabayı en aza indirir. Tek istisna, bir CAPTCHA'nın gerekli olmasıdır - bu, hCaptcha'dan 3. taraf kodunu yükler. Ancak hCaptcha kodu, kendi CSP kuralları içinde kendi URL'sine yüklenir ve hiçbir zaman bir mesajla ilgili herhangi bir şeye erişimi yoktur.
  • MITM saldırılarına karşı korunmaya yardımcı olmak için tarayıcı uzantıları mevcuttur .

Neden burada bir mesajın şifresini çözme seçeneği olan bir bağlantı aldım?

Bu çeviride hatalar varsa özür dileriz. Bu hizmet, şifrelenmiş bir mesajı bir noktadan diğerine iletir ve alıcı sizsiniz. Mesaj yakında silinecek. Bu hizmetin operatörlerinin mesaj içeriğini okuma yolu yoktur. Genellikle birileri bu hizmeti, bir mesajın içeriğinin çeşitli veritabanları/cihazlar/hizmetler/dosyalar/vb. içinde kalmasını istemediğinde kullanır. bir e-posta/anlık mesaj/metin/vb. gönderirken olduğu gibi. Şifreyi çözmeye karar verirseniz, lütfen aşağıdakileri aklınızda bulundurun:

• Mesajın, şifre çözme için cihazınıza gönderildikten hemen sonra silinmesi muhtemeldir. Bu, mesajın şifresini çözmek için düğmeye tıkladıktan sonra, size daha sonra tekrar gönderecek bir kopyamız kalmadığı anlamına gelir.
• Alınan tüm bilgileri sistematik olarak sileriz. Mesajlar, mesajın şifresi çözülüp çözülmediğine bakılmaksızın, oluşturulduktan sonra bir dakika ile iki hafta arasında herhangi bir yerde silinecektir. Başka bir deyişle, mesajı okumanız gerekiyorsa, şifresini çözmek için fazla beklemeyin.
• Gönderici muhtemelen mesajın içeriğinin dikkatli bir şekilde ele alınması gerektiğine inanmaktadır. Hatta hiç kopya yapılmasını istemediklerini belirtmiş olabilirler. Lütfen onların isteklerine saygı gösterin.
• Bir mesajın şifresini çözmek için bir parola istenirse, tarayıcı penceresini/sekmesini kapatmayın. Bu listedeki ilk madde işaretine göre, daha sonra başka bir kopya gönderemeyiz. Parolayı girene kadar tarayıcı penceresini/sekmesini açık bırakın. Yanlış bir şifre girerseniz, tekrar sorulur. Şifre tam olarak girilmelidir. Farklı dillere ve parola gereksinimlerine uyum sağlamak için parolalarda birçok farklı karakteri kabul ettiğimizi unutmayın.

Bu siteye gönderilen her şeyi sildiniz mi?

Çöp kutusu logomuza uygun olarak... her şey alındıktan kısa bir süre sonra silinir. Her şeyin silinmesi otomatiktir - sunucuya yazılır. Bunu şu şekilde düşünün - gönderilen iki bilgi sınıfı vardır:

• İçeriğinin şifresini çözemeyeceğimiz şifreli mesajlar
• Web'de herhangi bir şey göndermenin doğasında bulunan diğer bilgiler (yani IP adresiniz vb.)

Mesajlar söz konusu olduğunda, bunları ne zaman sileceğimizi aşağıdakileri belirterek kontrol edebilirsiniz:

• Mesajı kimse almazsa ne kadar süre tutmalıyız (1 dakika ile 2 hafta arasında değişir - varsayılan olarak 1 haftadır).
• Mesajın kaç kez alındığı (1 ila 100 kez arasında - varsayılan olarak 1 kez)

Varsayılan olarak, bir mesajla ilgili her şey, bir kez alındıktan veya 1 haftalık olduktan sonra (hangisi önce gerçekleşirse) silinir. Web'de herhangi bir şey göndermenin doğasında bulunan diğer tüm bilgilerin (ör. IP adresiniz, vb.) silinmesi söz konusu olduğunda, bunların ne zaman veya nasıl silineceği konusunda size herhangi bir kontrol vermiyoruz - hepsini 24 saatte bir sileriz. .

Neden bu hizmeti kullanıyorsunuz?

Bu hizmet, gönderdiğiniz/aldığınız mesajların daha az kalıcı olmasına yardımcı olan bir araçtır. İnternette iletişim kurduğunuz şeylerin çoğu (sohbetler, metinler, e-postalar vb.) saklanır ve nadiren silinir. Çoğu zaman, bir şeyi sildiğinizde, aslında silinmez, bunun yerine silindi olarak işaretlenir ve artık size gösterilmez. Toplu iletişimleriniz her yıl veritabanlarında ve üzerinde kontrolünüz olmayan cihazlarda birikir. Kaçınılmaz olarak, iletişimlerinizi depolayan bir veya daha fazla kuruluş/kişi/cihaz hacklenir ve bilgileriniz sızdırılır. Bu sorun o kadar yaygın ki, artık güvenliği ihlal edilmiş ve kullanıcı verilerini sızdıran kuruluşları izleyen birçok web sitesi var. Uçtan uca şifrelenmiş geçici mesajlar, bazı iletişimlerinizin daha az kalıcı olmasına yardımcı olacak basit bir çözümdür. Bu siteye gönderilen her mesajın 1 dakika ile 2 hafta arasında değişen bir yaşam süresi vardır - bu süre geçtikten sonra mesaj silinir. Ayrıca, varsayılan ayar, alıcı mesajı aldıktan sonra herhangi bir mesajı silmektir. Ek olarak, tüm mesajlar cihazınızdan alıcının cihazına kadar şifrelenir. Uçtan uca şifrelemeyi kullanmanın temel amacı, gönderilen mesajları okuma yeteneğimizi ortadan kaldırarak güven gereksiniminin bir kısmını ortadan kaldırmaktır. Sonuç olarak, basit bir bağlantı aracılığıyla şifreli bir mesaj göndermek artık çok kolay. Bu mesaj, gönderildikten kısa bir süre sonra veya alındıktan sonra silinir. Özel yazılım yüklemeniz/yapılandırmanız gerekmez. Bir hesap oluşturmanız veya herhangi bir kişisel bilgi vermeniz gerekmez. Alıcının rehberinizde olması veya hatta bu hizmetten haberdar olması gerekmez - bir bağlantıyı tıklayabilmeleri için tek gereklilik.

Bu bir mesajlaşma servisi mi?

Hayır. Bu hizmet, anlık mesajlaşma/e-posta/metin/vb. gibi mevcut mesajlaşma hizmetlerini tamamlamak üzere tasarlanmıştır. gönderilen mesajların uzun süre saklanmasını önleme yeteneği ekleyerek. Oluşturulan bağlantıyı alıcıya teslim etmiyoruz .

Amaçlanan kullanım durumları nelerdir?

Peki bu hizmeti kullanmanın uygun olduğu bazı senaryolar nelerdir? Gizlilik ve güvenlik söz konusu olduğunda herkesin farklı ihtiyaçları ve gereksinimleri olsa da, kişisel olarak aşağıdaki senaryoları uygun kullanım durumları olarak buldum:

• Bölgedeki dağ bisikleti parkurları hakkında yerel bir web forumu aracılığıyla iletişim kuruyorsunuz ve bazen birlikte yeni parkurları kontrol etmek için forumdaki insanlarla buluşuyorsunuz. Forumdan biri bu hafta sonu bir parkura gitmek için sizi evinizden almak istiyor. Ev adresinizin sonsuza kadar bu web sitesi forum veritabanında kalmasını istemezsiniz. Adresi bu hizmet aracılığıyla göndermeniz yeterlidir - bağlantı, web sitesi forum veritabanında bulunan şeydir, ancak alıcı tarafından okunduğunda mesaj/adres silinir.
• Kardeşinize Netflix giriş bilgilerinizi göndermeniz gerekiyor çünkü yeğeniniz COVID kilitlenmesi nedeniyle onu çıldırtıyor ve hala kendi hesabına sahip değil. Bu oturum açmayı çok fazla önemsemiyorsunuz, ancak kardeşiniz benim "dijital hijyen" diyeceğim konuda özellikle kötü ve güvenliği ihlal edilmiş oturum açmalar ve kötü amaçlı yazılımlarla birçok deneme yaptı. Eylemini temizlemesi için sonraki girişimler ve hatta onun için güvenli mesajlaşma yüklemesi bile başarısız oldu. Basitçe kısa mesajla göndermek muhtemelen en iyi seçenektir (ne yazık ki), ancak geçmiş deneyimler nedeniyle bu girişin mesaj geçmişinde oturmasından rahatsız olursunuz. Girişi bir metin mesajındaki bir bağlantı yoluyla göndermek için bu hizmeti kullanmak, girişin sohbet geçmişinde sonsuza kadar takılmasına izin vermemenizi sağlar.
• Bazen, her saat gelip giden birçok ortak kiracının bulunduğu bir ofiste çalışıyorsunuz. Kullanılabilir WiFi vardır, ancak kötüye kullanımla ilgili sorunlar olduğundan şifre her hafta değiştirilir. Çoğu kiracı ön ana girişten girmediği için ön masada olmasına rağmen WiFi şifresini soran e-posta/metin mesajı gönderiyor. Bu hizmeti kullanarak, ofis yöneticisi bir e-posta/metin yanıtındaki bir bağlantı aracılığıyla WiFi parolasını gönderebilir ve parolanın oyalanmasına izin vermez ve ayrıca alıcının mobil cihazlarda daha az hantal olan bir kopyala düğmesi aracılığıyla parolayı hemen kopyalamasına olanak tanır.
• Barındırma sağlayıcılarınızdan biri, kötü gidiyor gibi görünen bir sabit diskin belirtileri gösterdiğini bildirdiğiniz bir sunucu hakkında sizden bilgi istiyor. İhtiyaç duydukları bilgilerin bazıları biraz hassastır - kullandıkları 3. taraf bilet sisteminde sonsuza kadar oturmasını istemezsiniz. Bu hizmeti kullanarak, destek teknisyenlerine, destek teknisyenlerine, bilet sisteminde yer almadan bilgi gönderebilirsiniz. Birden çok teknisyenin bilgilere birden çok kez başvurması gerekebileceğinden, canlı okumaları 1'den (yani belki 20'den) büyük olarak ayarlayın, böylece mesaj ilk alımda silinmez.
• Reddit'teki başka bir kullanıcıya, sizi arayabilmeleri için telefon numaranızı bildirmek için özel mesaj göndermeniz gerekir. Reddit, diğer birçok sağlayıcı gibi, geçmişte kullanıcı bilgilerini sızdırdı ve telefon numaranızın bir sonraki sızıntıya kadar yıllarca Reddit'in veritabanında kalmasını istemezsiniz. Telefon numaranızı bu servis aracılığıyla göndermeniz yeterlidir.
• Eşiniz siz işteyken size mesaj atar, çünkü arkadaşı elektrik faturasında para biriktiren yeni bir program denemiş ve o da kontrol etmek istiyor. Ona hatırlattığın paylaşılan bir aile şifresi yöneticisi var ama o sadece giriş bilgilerini göndermeni istiyor. OMEMO, eşinizle anlık mesajlaşmak için kullanılır ve bu nedenle mesaj aktarımının güvenli olduğundan çok emin olursunuz; ancak sohbet geçmişinin kendisi şifrelenmeden saklanır. Eşiniz indirmeler, e-postalar vb. konusunda her zaman temkinli değildir ve faturalar, ikametgahı kanıtlamak için kimlik hırsızlığı için kullanılabileceğinden biraz hassastır. Bilgisayarında bir kopyanın saklanmasını önlemek için bu hizmeti kullanarak oturum açma ayrıntılarını ona gönderebilirsiniz.

Bu hizmet ne için kullanılmamalıdır?

Bu hizmet, bu SSS'de açıklanan tüm nedenlerle çok hassas bilgiler için kullanılmamalıdır. Aşağıda ne yapılmaması gerektiğine dair bazı örnekler verilmiştir:

• Bu hizmeti, uygunsuz bir ileti aktarımını "daha güvenli" hale getirmek için kullanmayın. Varsayılan ayar, iletiyi okuyabilen URL'ye parolayı eklemek olduğundan, bağlantıya sahip olan herkes iletiyi okuyabilir. Yukarıda belirtildiği gibi, bu aracı kullandığınızda, seçilen aktarıma (örneğin bir metin) özgü güvenlik/gizlilik sorunları devralınır. Bu nedenle, örneğin, hassas yapısı nedeniyle belirli bilgileri göndermek için e-posta kullanmayı asla düşünmezseniz, bu hizmeti e-postanın o kısmını "güvence altına almak" için kullanmamalısınız.
• Mesajın hiçbir kopyasının yapılmadığından emin olmak için bu hizmeti kullanmayın. Şifreli mesajın kopyasını aldığımızda hemen silmemiz ve kopyalamayı zorlaştırmamız mesajın kopyalanamayacağı anlamına gelmez. Alıcı ekranının fotoğrafını çekerse ne olur? Ya sadece mesajı yazarlarsa? Sonuç olarak, alıcı mesajı okuyabiliyorsa - bir kopyası yapılabilir.
• Bir mesajın size kadar takip edilememesini sağlamak için bu hizmeti kullanmayın. Bu hizmet, mesajı bir noktadan diğerine almak için başka bir mesaj taşıma sağlayıcısına (yani e-posta, sohbet vb.) bağlıdır. Kullanılan mesaj aktarımı, mesajı size kadar izleyebilir.
• Göndermeyi reddetmek istediğiniz herhangi bir şeyi göndermek için bu hizmeti kullanmayın. Sırf mesajın kendisi silindiği için, silinen mesaja işaret eden bağlantının silindiği anlamına gelmez. Arkadaşınıza bir e-posta gönderirseniz ve bu e-postanın bir kısmında bu hizmetten bir mesaja bağlantı varsa, sıradan bir okuyucu mesajda başka bir şey olduğunu anlayacaktır. Bağlantı tarafından atıfta bulunulan mesaj çoktan gitmiş olsa bile - başka bir şeyin gönderildiği ve sizin tarafınızdan arkadaşınıza gönderildiği açıktır.

Neden sadece PGP/Signal/OMEMO/Matrix/vb. kullanmıyorsunuz?

Güvenli geçici mesajlar göndermek istediğiniz kişiyi tanıyorsanız, sık sık gönderin, sohbet benzeri bir arayüz bekliyorsanız ve/veya alıcının gerekli yazılıma sahip olmasını ve nasıl kullanılacağını bilmesini bekliyorsanız, bu web sitesi muhtemelen bu web sitesi değildir. en iyi çözüm. Açık kaynak kodlu, web tabanlı değil E2EE'yi destekleyen ve hatta geçici mesajları da destekleyen Signal gibi bazı harika seçenekler var. Yakın arkadaşlarım ve ailemle sohbet etmek için kişisel olarak özel bir XMMP sunucusu ve OMEMO kullanıyorum. Bu siteyi kullanmak, yalnızca alıcının hangi yazılımı çalıştırdığını bilmiyorsanız, telefon numarasını/iletişim adresini bilmiyorsanız, teknik yeterliliklerini bilmiyorsanız (ancak bir bağlantıya tıklayabileceklerini varsayalım) en uygun olabilir. veya gönderdiğiniz mesajı temel iletişim aktarımının dışında tutmayı tercih edersiniz.

Hangi gereksinimler var?

Web Crypto API dahil olmak üzere standartları düzgün şekilde uygulayan modern ve güncel bir web tarayıcısı gereklidir. Örnekler şunları içerir: Chrome, Firefox, Edge ve Safari (yaklaşık 2020 veya sonrası).

Alıcı mesajın bir kopyasını alabilir mi?

Evet. Mesaj alındıktan sonra kendini silebilse bile, alıcı mesajı görüntüleyebilir. Alıcı mesajı tamamen görüntüleyebildiği zaman, bir kopyası alınabilir - bu tüm iletişimler için geçerlidir. Alıcının bir kopya oluşturmasını zorlaştırma seçeneği vardır. Bu durumda kopyalama için üç engel uygulanır:

• Kopyala düğmesi kaldırılır. Bu düğme varsayılan olarak alıcının tüm mesajı kendi panosuna kopyalamasına izin verir.
• İndir düğmesi kaldırılır. Bu düğme, alıcının mesajı bir metin dosyası olarak indirmesine izin vermek için varsayılandır.
• Mesaj metin kutusunun içindeki metni seçme özelliği kaldırılmıştır.

Ancak, bu kopya korumaları, atlanabildiklerinden zayıftır. Ayrıca, alıcı her zaman mesajın ekran görüntüsünü veya fotoğrafını çekebilir.

Herhangi bir kişisel bilgi toplanıyor mu?

Kullanıcı hesaplarını desteklemiyoruz (yani kullanıcı adı/şifre). Sizi tanımlayabilecek herhangi bir bilgi (yani ad/adres/e-posta/telefon) toplamıyoruz. Gönderdiğiniz mesajda bazı kişisel bilgilerin olması mümkündür, ancak bu şifrelidir ve okumamız mümkün değildir. Tüm ayrıntılar için lütfen gizlilik politikamızı inceleyin.

Hangi bilgiler günlüğe kaydedilir?

Web sunucumuz, tüm web etkinliklerinde 24 saate kadar ortak günlük formatı tutar. Bu, HTTP istemcilerinin tam IP adresinin günlüğe kaydedilmesini içerir. 24 saat sonra günlüğe kaydedilen bu bilgiler otomatik olarak silinir. /api'ye gönderilen tüm istekler POST edilir, yani web sunucusu tarafından mesaja özel hiçbir bilgi günlüğe kaydedilmez. Ayrıca, veritabanına kaydedilen tüm bilgiler etkin bir şekilde günlüğe kaydedilir. Anonimleştirilmiş ve karma IP adresleri de dahil olmak üzere veritabanındaki tüm girişlerin bir sona erme süresi (TTL) vardır ve ardından bunlar otomatik olarak silinir. TTL sona erme süreleri 1 dakika ile 2 hafta arasında değişir.

Sunucuların güvenliğini sağlamak için ne yapıyorsunuz?

Sunucu güvenliği bariz bir endişe kaynağıdır. Güvenliği sağlamak için odaklandığımız iki ana alan var:

• İlk olarak, sunucunun güvenliğinin ihlal edilmesi durumunda herhangi bir bilgi sızıntısının kullanıcılarımıza zarar vermemesi için mümkün olan en kısa süre boyunca mümkün olduğunca az miktarda depolarız. Veritabanında saklanan tüm mesajlar şifreleri çözülmeden şifrelenir. Kullanıcılarımızdan herhangi bir kişisel bilgi toplamadığımızdan, herhangi bir kullanıcımıza herhangi bir mesajı bağlayan saklanan hiçbir şey yoktur. Veritabanındaki tüm kayıtların 1 dakika ile 2 hafta arasında değişen bir sona erme süresi (TTL) vardır - bu süre geçtikten sonra kayıt otomatik olarak silinir. Bu nedenle, veritabanında bulunan bilgilerin büyük çoğunluğu uzun zaman önce zaten silindi.
• Uzlaşmayı önlemek ve meydana gelen herhangi bir uzlaşmayı kontrol altına almak için bir dizi önlem alıyoruz:
  • Web sunucusu, nginx , günlüklerden başka hiçbir şeye yazma erişimi olmayan, ayrıcalıksız bir kullanıcı olarak yalıtılmış bir kapsayıcıda çalıştırılır. Kapsayıcı, kendi SELinux bağlamı içinde çalışır ve ayrıca herhangi bir dosya sistemi değişikliğini veya kapsayıcıdan kolay kaçışı önler. PHP/ASP/JSP/etc için destek yoktur. - sadece statik kaynaklara hizmet etmek.
  • /api çalıştıran kod Go'da yazılmıştır, bu da onu arabellek taşması güvenlik açıklarını (yaygın bir saldırı vektörü) oldukça esnek hale getirmesi gerekir. Go işlemi ayrıca, veritabanı dışında herhangi bir şeye yazma erişimi olmayan ayrıcalıksız bir kullanıcı olarak yalıtılmış bir kapsayıcıda çalışır. Kapsayıcı, kendi SELinux bağlamı içinde çalışır ve ayrıca herhangi bir dosya sistemi değişikliğini veya kapsayıcıdan kolay kaçışı önler. Badrdb veritabanı, Go işleminin bir parçasıdır (harici veritabanı bağımlılığı/işlemi yoktur).
  • Sunucu güvenliğinin ihlal edilmesinin ana tehlikesi, saldırganın dosyaları, kullanıcılarımızın gizliliğini/güvenliğini tehlikeye atacak şekilde değiştirebilmesidir. Özel bir süreç, tüm web sitesi dosyalarını herhangi bir değişiklik için izler ve herhangi bir değişiklik olması durumunda bizi hemen uyarır.
  • Tüm yönetim erişimi korunur ve yetkili ağlarla sınırlıdır.

Bu siteyi kullanırken hangi güvenlik riskleri mevcuttur?

Bu risklerden bazılarına özellikle değinmeden önce, herhangi bir İnternet iletişimini kullanmanın risklerini özetlemek için yarı kısa bir analojinin yardımcı olabileceğini düşünüyorum. Herhangi bir sistemin yalnızca bir zincirin en zayıf halkası kadar güvenli olduğunu gözünüzde canlandırın. Şimdi, mühürlü bir odada, yaptıkları hiçbir şeyi görme, duyma veya kaydetme olanağı olmayan iki kişinin olduğu bir senaryo hayal edin. Biri diğerine bir mesaj iletecek, mesajı okuduktan sonra onu yakacak. Eğer o odanın dışından biri geçmiş olan mesajı almak isterse, bu zor olacak. Mesajı almak için en zayıf halka nedir? Aralarından seçim yapabileceğiniz çok fazla bağlantı yok - oldukça kısa bir zincir. Şimdi, İnternet'te zincirde en az bir milyon bağlantı olduğunu - çoğu zayıf - birçoğunun tamamen kontrolünüz dışında olduğunu - bir mesaj gönderdiğinizi hayal edin ve bu gerçek.

Şifrelemeyi kullanmak, yukarıdaki milyon bağlantı sorununa büyük ölçüde yardımcı olabilir ve iyi tasarlanmış E2EE sistemlerinin her şeyin sonunda çözüm sunduğu düşüncesine kapılmak kolaydır. Ancak bu düşünce başınızı belaya sokabilir çünkü bir saldırgan genellikle sistemdeki zayıf halkaların peşine düşer. Örneğin, telefonunuzu veya bilgisayarınızı ele geçirmek ve yazdığınız her şeyi okumak için bir giriş kaydedici kurmak, kablo üzerinden şifreli mesajları kırmaktan muhtemelen çok daha kolaydır. Sonuç olarak, hayati/kritik öneme sahip bir sırrı iletmekle görevlendirilseydim, elektronik iletişimi yalnızca son çare olarak kullanırdım.

Bu nedenle, herhangi bir iletişimi kullanırken güvenlik riskleri vardır, ancak yine de bankacılık, bir şeyler satın alma, e-posta vb. için bir web tarayıcısı kullanıyorsunuz. Kazanılan büyük kolaylıklar için kabul edilen bir risk. Asıl soru şu ki... bu siteye yarı özel hangi güvenlik riskleri var? Birkaçı aklıma geliyor:

• Belki de en büyük risk ve bu hizmete en eşsiz bir ila seçici zaman kullanıcılarımızın iyi değerlendirip karar alışkanlık olduğunu göndermek için neyin uygun olduğunu ve ne göndermek için uygun değildir . Bazen "Bu bilgiyi e-postayla göndermekten memnunum - e-postanın okuduktan sonra silinmesini istiyorum" ve "Bu bilgiyi e-postayla göndermekten çekiniyorum - e-posta uygunsuz bir aktarımdır" arasındaki ayrım oldukça ince olabilir.
• Bu sitenin operatörlerinin, insanları karanlık bir nihai amaç elde etmek için hizmeti kullanmaya çeken kötü aktörler olduğu tehdidi her zaman vardır. Makul derecede güvenilir bir şeyle karşılaşıyoruz - her şeyi kolay ve ücretsiz hale getirin - çok sayıda insanın hizmeti kullanmasını sağlayın - her zaman uğursuz bir niyetle. Bhahahahaha! Bize nasıl güvenebilirsin?
• Kodumuzun güvenliği etkileyen hatalar içermesi veya her şeyi iyi düşünmeme ihtimalimiz var ve eksikliklerimiz artık kullanıcılarımızı gereksiz tehlikelere maruz bırakıyor. Umarız olmaz - ama bunu ekarte edemeyiz.
• Özel iletişimin diğer trafikle harmanlanmasının kolay olduğu devasa ağlarına sürekli olarak girip çıkan terabit şifreli veriye sahip olan teknoloji devlerinin (ör. Google/Facebook/Whatsapp) aksine, bağımsız merkezi hizmetler (ör. Signal, Telegram ve biz) öne çıkıyor. Bir ağ operatörü veya hatta büyük bir kuruluş/hükümet için xxxx IP adresinin XYZ hizmetini kullandığını görmesi kolaydır.
• Bu siteye özel olmasa da, herhangi bir web sitesine karşı kullanılabildiğinden, ortadaki adam (MITM) saldırıları geçerli bir endişe kaynağıdır .

Ortadaki adam (MITM) saldırıları hakkında ne yapıyorsunuz?

Web sitelerinin tüm kullanıcıları potansiyel olarak bir MITM saldırısının kurbanı olabilir - bu site bu açıdan web'deki diğerlerinden farklı değildir. Bir MITM saldırısı , bir saldırganın kullanıcının tarayıcısı ile sitenin web sunucusu arasındaki iletişimi engelleyebildiği ve değiştirebildiği zamandır. Bu, saldırganın, son kullanıcıya alışık oldukları site gibi görünmeye devam ederken sitenin herhangi bir kodunu/içeriğini değiştirmesine olanak tanır. Bir MITM saldırısını daha zor hale getirmek için bazı önlemler alıyoruz:

• HSTS, tarayıcıları yalnızca TLS üzerinden bağlanmaya zorlamak için kullanılır. Sunucumuz, yönlendirme dışında TLS dışı iletişimi yok sayacak şekilde yapılandırılmıştır. Yalnızca TLS 1.2 veya üstü desteklenir.
• DNSSEC, alanımızın bölgesini imzalamak için kullanılır. Bu, kullanıcı DNSSEC farkında özyinelemeli bir çözümleyici kullanıyorsa, DNS sahtekarlığı uygulanan MITM saldırılarını durdurabilir.
• Alanımıza atıfta bulunan yetkisiz TLS sertifikaları veren sertifika yetkililerini izlemek için bir hizmet kullanıyoruz.
• Son kullanıcının cihazında depolanan kodu kullanarak mesaj şifrelemeyi desteklemek için tarayıcı uzantıları yayınladık.

Bununla birlikte, bir MITM saldırısı hala her zaman mümkündür - özellikle saldırgan, büyük/güçlü kuruluşlar veya hükümetler için olduğu gibi ağ/ortak anahtar altyapısını kontrol ediyorsa. Bazı MITM risklerini azaltmaya yardımcı olabilecek tarayıcı uzantıları sunuyoruz.

Tarayıcı uzantıları ne gibi avantajlar sunar?

Ekstra kolaylık ve ek güvenlik sağlamanın bir yolu olarak tarayıcı uzantıları sunuyoruz. Basitçe söylemek gerekirse... Uzantılar, geçici mesajların daha hızlı ve daha kolay gönderilmesini sağlar. Bir mesajı şifrelemek ve hazırlamak için kullanılan tüm kodlar uzantı içinde yerel olarak depolandığından, bir miktar güvenlik de elde edilir. Kod yerel olarak depolandığından, bu göndericiye MITM saldırılarına karşı bir miktar koruma sağlar. Bununla birlikte, uzantılar mesaj içeriğini tehlikeye atan bir MITM saldırısına karşı daha fazla koruma sağlarken, bir MITM saldırısının yine de etkili olabileceğini belirtmekte fayda var (yani, TOR/VPN/vb kullanmıyorsa gönderenin IP adresini belirlemek için).

Gönderilen herhangi bir şeyin uçtan uca şifreli olduğundan nasıl emin olabilirim?

Diğer birçok popüler uçtan uca şifreli (E2EE) sohbet istemcisinin aksine, bir mesaj gönderdiğinizde bize tam olarak ne gönderildiğini görmek oldukça basittir. Aşağıdaki eğitim videosu, sunucuya gönderilen mesajların şifresini çözmenin hiçbir yolu olmadığını nasıl onaylayacağımızı gösterir.

Ayrıca, bunu düşünürseniz, hassas mesajları toplamaya çalışan bir gizli teşkilat olmadığımız sürece, mesajların şifresini çözebilmemizin hiçbir faydası yoktur, çünkü bu yeteneğe sahip olmak sadece bizim için sorun yaratır. Mesajları saklamak bile istemiyoruz - ancak onları iletmek için gerekli bir kötülük.

Bu sitede uçtan uca şifreleme nasıl çalışır?

Şu anda, parolalardan türetilen anahtarlarla simetrik şifreleme (AES-GCM 256bit) kullanıyoruz (en az 150.000 PBKDF2/SHA-256 yinelemesi). 1) Göndericinin iletişimi başlatması 2) Gönderici ve alıcının aynı anda çevrimiçi olmaması ve 3) Alıcı hakkında hiçbir bilgi olmaması ve 4) İşleri gerçekten basit tutmaya çalıştığımız için asimetrik şifreleme kullanılmaz ve anahtar yönetimi karmaşık. Standart Web Crypto API, RNG dahil tüm şifreleme işlevleri için kullanılır. Temel olarak, burada ne olur:

1. Son kullanıcı bir parola seçer veya bir parola otomatik olarak oluşturulur
2. Gerekli PBKDF2/SHA-256 yineleme sayısını elde etmek için bir API çağrısı yapılır ( bu adım spam kontrolü için gereklidir )
3. 32 baytlık bir tuz üretilir
4. Tuz ve paroladan bir anahtar türetilir
5. 12 baytlık bir başlatma vektörü (IV) oluşturulur
6. Mesaj + IV anahtarı kullanılarak şifrelenir
7. Yineleme sayısı, salt, IV ve şifreli metin sunucuya gönderilir (TTL, RTL vb. diğer bazı bilgilerle birlikte)
8. Sunucu, mesaja atıfta bulunan rastgele bir kimlik döndürür
9. Tarayıcı daha sonra son kullanıcıya döndürülen kimliği ve parolayı içeren bir bağlantı veya parolasız bir bağlantı sunar (bu durumda alıcının parolayı bilmesi ve girmesi gerekir)
10. Parola bağlantının bir parçasıysa, hash URL'sindedir ve bu nedenle alıcı GET isteğinde bulunduğunda asla sunucuya gönderilmez.
11. Alıcıya mesajın şifresini çözmek ve görüntülemek isteyip istemediği sorulur
12. Tarayıcı, mesaj kimliğini belirten bir istekte bulunur
13. Gönderici bir CAPTCHA'nın tamamlanmasını isterse, alıcı insan olduklarını kanıtlamak için başka bir URL'ye yönlendirilir (geçtiklerinde geri yönlendirilirler)
14. Sunucu şifreli mesajı gönderir ve canlı okuma (RTL) bir ise bu noktada mesajı varsayılan olarak siler.
15. Alıcı, mesajın şifresini şifre ile çözecektir (ve URL'de değilse şifre sorulacaktır)

Bu kurulum son derece basittir ve gönderenin cihazından alıcının cihazına mesaj şifrelemesi sunar, ancak elbette asimetrik şifrelemenin sunabileceği garantiden yoksundur, çünkü yalnızca alıcının özel anahtarına sahip olan birinin mesajın şifresini çözebileceğini bilmek açısından. Bağlantıya sahip olan herkes, parolanın URL'nin bir parçası olduğu varsayılan senaryoda mesajı açabilir - bu, bağlantı için uygun bir aktarım (örn. e-posta/sohbet/metin/vb.) kullanmanın önemini vurgular - bu karar kullanıcıya bırakılmıştır. gönderen. İlgi olması durumunda, alıcının bir mesaj talebi başlattığı ve bu istek bağlantısını mesajın göndericisine gönderdiği çok temel bir asimetrik şema için destek de sunabiliriz. Bu kurulum, URL'de parola bulunması ihtiyacını ortadan kaldırır, ancak aynı zamanda gönderenin başlatma yeteneğini de ortadan kaldırır.

Şifre çözme şifresi URL'de olabilir mi?

Evet. Bu açıkça güvenliği etkiler, çünkü bağlantıyı göndermek için kullanılan yöntem güvensizse, mesaj ilişkilendirmeden dolayı güvensizdir. Bu sorunu ortadan kaldırmaya yönelik tüm geçici çözümler, kullanıcı deneyimini etkileyen ek adımlar ve karmaşıklıklar getirir (yani, mesajı göndermeden önce işlerin her iki uçta da ayarlanması gerekir). Alıcının bir mesaj isteği başlattığı ve bu istek bağlantısını gönderdiği asimetrik bir şema "her şey geçicidir" anahtar gereksinimimizle çalışabilir - bu uygulanabilir. Sonuç olarak, iki taraf birbirine sık sık mesaj gönderecekse, her iki tarafın da bu çözümleri kullanarak başa çıkabileceğini varsayarak daha iyi çözümler vardır.

Ancak şifre çözme şifresinin URL'de olması gerekmez mi?

Doğru. Şifre çözme şifresi bağlantıda yer almıyorsa, alıcıdan şifre istenecektir. Parola alıcıya güvenli bir şekilde iletildiyse (veya zaten biliyorsa), bu, müdahaleye karşı koruma sağlar. Ancak dezavantajı, alıcının şifreyi bilmesi ve doğru girmesi gerektiğidir. Şifreyi, müdahaleye karşı bir miktar koruma sağlayan alıcıya göndermenin bir yolu:

1. Varsayılan ayarlarla bir mesajdaki şifreyi şifreleyin ve bu bağlantıyı alıcıya gönderin.
2. Alıcı bağlantıya tıkladığında ve mesajın şifresini çözdüğünde, şifreyi içeren mesaj alındıktan sonra silindiğinden başka kimsenin şifreyi kendilerinden önce almadığını bilirler. Ancak, etkin bir MITM saldırısı varsa veya cihazınız veya alıcının cihazının güvenliği ihlal edilmişse, başka bir tarafın şifreyi alması yine de olasıdır.
3. Parolayı başarıyla aldıklarını alıcıyla onaylayın. Örneğin, alıcı şifreyi almaya gittiğinde mesajın zaten silindiğini size bildirirse, o zaman başka birinin şifreyi alıcıdan önce aldığını ve bu nedenle şifrenin ele geçirildiğini ve kullanılmaması gerektiğini bilirsiniz.
4. Alıcının sahip olduğunu onayladığı şifreyi kullanarak, artık şifreleme için aynı şifreyi kullanarak bir mesaj gönderebilirsiniz - sadece bağlantının şifreyi içermeyen sürümünü paylaşın.

Bu hizmet bağlantıyı alıcıya teslim etmiyor mu?

Bu doğru - bağlantıyı oluşturuyoruz ve alıcıya en iyi nasıl iletileceğini gönderene bırakıyoruz. Bu hizmetin amacı, e-posta/sohbet/metin/vb. gibi mevcut mesaj aktarımlarında daha az kalıcılık sunan bir seçenek sunmaktır. Bu nedenle, geçici mesaja işaret eden oluşturduğumuz bağlantının mevcut bir mesaj aktarımı yoluyla gönderilmesi beklenir. Bunun, kullanıcıların anlaması gereken güvenlik etkileri vardır. Oldukça güvensiz bir iletişim yöntemi olduğu için örnek olarak bir SMS metin mesajını ele alalım. Kısa mesaj yoluyla geçici mesaj bağlantısı göndermek için bu hizmeti kullandığınızda, parolanın bağlantıya dahil edildiği varsayılan modu kullanırsanız, bağlantıya sahip olan herkes mesajı okuyabilir ve müdahaleye karşı herhangi bir koruma sunulmaz. Bu hizmet, gizliliği ve güvenliği artırabilecek daha geçici bir iletişim sağlamaya devam eder. Ek olarak, bağlantıyı şifre olmadan göndermeyi seçebilirsiniz ve bu, müdahaleye karşı koruma sağlayacaktır.

Bu hizmeti kullanırken gizliliğimi mümkün olduğunca nasıl koruyabilirim?

Bu SSS'de başka bir yerde tartışıldığı gibi , gizliliğinizi korumak için zaten çok şey yapsak da ve herhangi bir kişisel bilgi toplamasak da, günlükle ilgili bazı bilgiler bizim tarafımızdan ve diğerleri tarafından bir web tarayıcısı kullanarak gönderilir ve toplanır. Ancak, gizliliğinizi daha da fazla korumanın birden fazla yolu vardır. Açık kaynaklı yazılıma dayalı, kullanımı ücretsiz ve oldukça iyi çalışan bir yol Tor Tarayıcı kullanmaktır. Bu tarayıcı, Tor ağını kullanmak da dahil olmak üzere, gizliliğinizi birden çok düzeyde korumak için tasarlanmıştır. Sitemize Tor soğan ağı üzerinden zaten erişilebilir, bu da sitemize Tor aracılığıyla erişmenin bir çıkış düğümü kullanımını gerektirmediği anlamına gelir, bu da birinin çıkış düğümü trafiğini dinlemesini engeller. Ancak, bu senaryoda bile, ISS'nizin Tor'u ne için kullanmasanız da kullandığınızı görebileceğini unutmayın. Hatta bir VPN'ye bağlanabilir ve ardından iki katman anonimlik için Tor Tarayıcı'yı başlatabilirsiniz; ancak, ISS'nizin bu senaryoda bir VPN kullandığınızı görebileceğini unutmayın - ne için olmasa da. ISS'nizin hangi protokolleri kullandığınızı bilmesini istemiyorsanız, kütüphane, okul vb. gibi büyük bir genel WiFi ağına bağlanabilir ve ardından Tor tarayıcısını kullanabilirsiniz.

Amerika Birleşik Devletleri'ne güvenmezsem ne olur?

Sunucularımız Amerika Birleşik Devletleri'nde bulunmaktadır. Ayrıca, CDN sağlayıcımız Cloudflare, Amerika Birleşik Devletleri merkezli bir şirkettir. Kişisel bilgileri toplamadığımız, herhangi bir mesajın şifresini çözemediğimiz ve alındıktan kısa bir süre sonra her şey silindiği için bize veya sunucularımızın bulunduğu ülkeye güvenme ihtiyacını ortadan kaldırmaya çalıştık. Ancak, web tabanlı olduğu için ve özellikle belirli ülkelerde yaşıyorsanız, bazı güvensizlikleri anlayabiliriz. ABD'ye güvenmekte zorlanan insanlara İzlanda ve İsviçre'de seçenekler sunmak için bazı planlarımız var. Lütfen bunun sizin için geçerli olup olmadığını bize bildirin , çünkü gerçek bir talep olmadıkça alternatifler sunmak için motive olmayacağız.

Spam'i önlemek için ne yapıyorsunuz?

Birinin bağlantı yoluyla iletilebilecek bir mesaj göndermesine her izin verdiğinizde, spam gönderenleri davet etmiş olursunuz. Bu sorunu engellemek tamamen kolay değil. Birkaç nedenden dolayı mesaj gönderme işleminin bir parçası olarak 3. taraf CAPTCHA yüklemek istemiyoruz:

• CAPTCHA'lardan nefret ederiz - zaman alırlar ve can sıkıcıdırlar
• 3. taraf javascript yüklemek, gizlilik ve güvenlik açısından istilacı olabilir
• Kendi CAPTCHA'mızı çalıştırmak, hiç bitmeyen bir köstebek vurma oyununa kaydolduğumuz anlamına gelir.
• Sonunda insanlar bu hizmetle API aracılığıyla etkileşime geçmek isteyebilirler.

Bazı API anahtar sistemlerini kullanarak API sorununu çözebiliriz, ancak daha sonra yapmak istemediğimiz kullanıcı bilgilerini toplamamız gerekir. Ayrıca, spam göndericilerin çok sayıda API anahtarı almasını engelleyen nedir? İletileri, spam olup olmadıklarını (en iyi ihtimalle çok sorunludur) anlamak için inceleyemiyoruz, çünkü iletileri şifrelemenin dışında, ileti içeriğiyle ilgili bir müdahale politikamız var. Bu gereksinimler göz önüne alındığında, spam'i önlemek için iki yöntem kullanıyoruz:

• Gerekli PBKDF2/SHA-256 yineleme sayısını artırma
  Tüm iletiler yalnızca az sayıda alınabilir - çok sayıda ileti göndermeye güvendikleri için spam gönderenler için çekici olmayan bir özellik. Bir spam göndericinin herhangi bir spam kampanyası için çok sayıda ileti oluşturması gerekeceğinden, bu görevi spam için bu hizmeti kötüye kullanmayı çekici olmayan bir çaba haline getirecek kadar hesaplama açısından pahalı hale getirmeyi seçtik. Bu, mesaj gönderen ağların izlenmesiyle gerçekleştirilir - toplam olası erişimler cinsinden ölçülür. Ağ bilgilerinin kendisi güvenli bir şekilde özetlenir, böylece gerçek ağı karmadan çıkaramayız. Belirli bir ağ daha fazla mesaj yayınladıkça, bir sonraki mesajı göndermek için gereken PBKDF2/SHA-256 yineleme sayısını artırıyoruz. Bu, çok hızlı bir şekilde, yalnızca tek bir mesaj göndermek için çok fazla CPU zamanının gerekli olmasına neden olur. Umarım bu yöntem spam kötüye kullanımını engellemek için yeterli olur ve aynı zamanda gerçek kullanıcıları etkilemez.
• Bir ileti aldıklarında kullanıcılardan spam raporları toplayın
  Bir kullanıcı bir mesaj aldığında, mesajın hemen altında bir "Spam Bildir" düğmesi bulunur. Bir ileti spam ise, umarım bazılarının bu düğmeyi tıklaması 3 saniye sürer. Bir spam raporu aldığımızda, bu bizi uyarır ve belirli bir ağ için gerekli PBKDF2/SHA-256 yinelemelerini etkilemeyi de etkiler.

Spam gönderenlerin bu hizmeti kötüye kullandığını biliyorsanız, lütfen bir kötüye kullanım raporu gönderin .

Alıcının bir CAPTCHA tamamlamasını zorunlu kılma seçeneği neden var?

CAPTCHA'ları sevmediğimiz doğru olsa da, bunların bir amaca hizmet ettiğinin ve bir zaman ve yere sahip olduklarının (en azından şimdilik) farkındayız. Bu, gönderenin, alıcının insan olduğuna ve otomatik süreçlerin mesaja erişmediğine dair bir güvence elde etmesinin basit bir yoludur.

Bu hizmeti kim çalıştırıyor ve neden ücretsiz?

Biz sadece gizliliğimizi korumaya yardımcı olacak iyi seçeneklere sahip olamama çıkmazıyla karşı karşıya kalan birkaç kişiyiz. Çoğu zaman bu, cihazlarını ve bilgilerini nasıl kullandıklarına çok dikkat etmeyen arkadaşlar ve aile üyeleriyle iletişim kurmaktan kaynaklandı. Bazen bu, Reddit gibi web tabanlı forumları kullanırken veya web tabanlı destek sistemlerini kullanırken ortaya çıktı. Bazı web tabanlı geçici mesaj çözümleri bulduk, ancak hiçbiri E2EE sunmadı, bu da onlara güvenemeyeceğimiz anlamına geliyordu. Bu yüzden sadece kendi çözümümüzü oluşturduk ve başkalarının faydalanabilmesi için onu vermeye karar verdik.

Yukarıdaki soruların cevaplarına nasıl güvenebilirim?

Gerçekten de herhangi bir web sitesine sırf belirli şeyler söylediği için güvenmemelisiniz - genellikle herhangi bir iddiayı doğrulamak iyi bir fikirdir. Bize güvenme zorunluluğunu uçtan uca şifreleme ile mümkün olduğunca ortadan kaldırmaya çalıştık. Örneğin, şifreli oldukları için hiçbir mesajı okuyamayacağımızı denetlemek oldukça kolaydır. Ayrıca, bu siteyi çalıştıran javascript kodunu , okunması ve anlaşılması kolay olacak şekilde çok basit tuttuk. Tüm kodu açık kaynak yapmak, insanların neyin çalıştığını doğrulamasını sağlar; ancak, sunucunun ne çalıştığını gerçekten doğrulamanın bir yolu olmadığını unutmayın. Güven gereksiniminin çoğunun uçtan uca şifreleme ile kaldırıldığı doğru olsa da, bu hizmeti kullanıp kullanmamaya karar verirken yine de kullanıcılarımızın üzerinde durduğu bir faktördür.