tez-tez so'raladigan savollar

• Nima uchun bu sayt yomon tarjima qilingan? ⎃
• Ushbu xizmat qanchalik xavfsiz?
• Nega men bu erda xabarni parolini hal qilish uchun havolani oldim?
• Siz ushbu saytga yuborilgan barcha narsani o'chirib tashlaysizmi?
• Nima uchun ushbu xizmatdan foydalanish kerak?
• Bu xabar almashish xizmatimi?
• Amalga oshiriladigan holatlar qanday?
• Ushbu xizmatdan nima uchun foydalanmaslik kerak?
• Nima uchun faqat PGP / Signal / OMEMO / Matrix / va boshqalarni ishlatmaslik kerak?
• Qanday talablar mavjud?
• Qabul qiluvchilar xabarning nusxasini olishlari mumkinmi?
• Shaxsiy ma'lumotlar to'planganmi?
• Qaysi ma'lumotlar qayd qilingan?
• Serverlarni himoyalash uchun nima qilyapsiz?
• Ushbu saytdan foydalanganda qanday xavfsizlik xavfi mavjud?
• O'rtada odam (MITM) hujumlari bilan nima qilyapsiz?
• Brauzer kengaytmalari qanday afzalliklarga ega?
• Qanday qilib yuborilgan narsa oxiridan oxirigacha shifrlanganligini qanday aniq bilsam bo'ladi?
• Ushbu saytda uchidan uchgacha shifrlash qanday ishlaydi?
• Shifrni ochish paroli URL manzilida bo'lishi mumkinmi?
• Lekin parolni ochish parolining URL manzilida bo'lishi shart emasmi?
• Ushbu xizmat havolani qabul qiluvchiga etkazib bermaydi?
• Ushbu xizmatdan foydalanish paytida shaxsiy hayotimni qanday qilib iloji boricha himoya qilishim mumkin?
• Agar men Qo'shma Shtatlarga ishonmasam nima bo'ladi?
• Spamning oldini olish uchun nima qilyapsiz?
• Nima uchun qabul qiluvchidan CAPTCHA-ni to'ldirishni talab qilish imkoniyati mavjud?
• Ushbu xizmatni kim boshqaradi va nega u bepul?
• Yuqoridagi savollarning javoblariga qanday ishonsam bo'ladi?

Nima uchun bu sayt yomon tarjima qilingan? ⎃

Kechirasiz, ammo hozirgi mualliflar faqat ingliz tilida gaplashadilar. Ushbu loyihani boshqa tillarga tarjima qilishda bizga yordam kerak. Ushbu xizmatni ingliz tilini bilmaydigan odamlarga taqdim etishning oddiy va arzon vositasi sifatida biz mashinadan tarjimadan foydalanamiz. Natijalar odatda qabul qilinadi, ammo g'alati so'zlar yoki hatto noto'g'ri ma'lumotlarga olib kelishi mumkin. Siz bizga hamma uchun tajribani yaxshilashga yordam berishingiz mumkin - iltimos, to'g'ri tarjimasini yuboring .

Ushbu xizmat qanchalik xavfsiz?

Ushbu xizmatdan maqsadga muvofiq foydalanish uchun xavfsizligini ta'minlash uchun biz ko'p qadamlarni qo'ydik. Ushbu bosqichlarni ko'rib chiqishdan oldin, quyidagilarni tushunish muhimdir:

• Oxir-oqibat shifrlash sababli biz sizning xabaringizni o'qiy olmasak- da, yaratilgan standart havolada parol / parol parolini o'z ichiga oladi ; va shuning uchun havolaga ega bo'lgan har bir kishi sizning xabaringizni o'qishi mumkin, shu jumladan uni ushlab qolish imkoniyatiga ega bo'lgan har bir kishi.
• Ushbu xizmat shunchaki doimiy bo'lgan an'anaviy transport vositalari (ya'ni elektron pochta / matn / tezkor xabar / veb-sayt / va hokazo) orqali kamroq doimiy aloqalarni (ya'ni qidirib topilgandan so'ng o'chiriladigan shifrlangan xabarlarni) yuborishga imkon beradigan vosita. Bu shuni anglatadiki, tanlangan transportga tegishli bo'lgan har qanday xavfsizlik / maxfiylik muammolari (ya'ni elektron pochta) ushbu vositadan foydalanganda meros bo'lib olinadi .
• Sizning ehtiyojlaringiz va atrof-muhitingizga qarab xavfsizlikni ta'minlaydigan boshqa echimlar mavjud. Ushbu xizmatning boshqalar bilan taqqoslaganda asosiy afzalligi - qabul qiluvchiga nisbatan talablar ancha past (ya'ni ularga veb-brauzer va havolani bosish imkoniyati kerak).
• Birlamchi parametr, xabarlarni qidirib topishda o'chirish bo'lsa-da, qabul qiluvchiga nusxasini olishni to'xtatish uchun hech narsa yo'q . Shuni yodda tutingki, bu barcha vaqtinchalik xabar echimlariga tegishli - agar qabul qiluvchi xabarni ko'rsa, uni nusxalash mumkin.
• Barcha Internet aloqalari sizning shaxsiy hayotingizga zarar etkazishi mumkin - siz qulaylik uchun xavfsizlikni ta'minlaysiz.
• Xavfsizlik haqida gap ketganda, ba'zi bir muhim muammolar tufayli veb-bu qiyin muhit - bu barcha veb-saytlarga tegishli. Biroq, veb-ga asoslangan bo'lish sizning xabaringizni o'qiy olmaymiz degan da'volarimizni tasdiqlashiga yordam beradi .
• Ushbu veb-sayt va uning ma'lumotlar bazasi AQShda joylashgan. Biz kontentni etkazib berish tarmog'i sifatida AQShda joylashgan Cloudflare kompaniyasidan foydalanamiz (barcha veb-trafik ushbu tarmoqdan o'tadi).

Bizning maqsadimiz ushbu xizmatni sizning shaxsiy hayotingiz va xavfsizligingizni yaxshilash uchun imkoniyatlarni taklif qilishdir. Ma'lumotlaringizni himoya qilish uchun biz ba'zi qadamlarni qo'ydik:

• Xizmatdan foydalanish uchun shaxsiy ma'lumotlar (masalan, ism / elektron pochta / telefon / va hokazo) talab qilinmaydi. Hisob tizimi mavjud emas (ya'ni login / parol / va boshqalar); shuning uchun har qanday ma'lumot buzilishi ushbu ma'lumotni oshkor qila olmaydi.
• Barcha xabarlar tarkibi uchidan uchiga shifrlangan . Boshqacha qilib aytganda, parol hal qilish kaliti / parol bizga hech qachon yuborilmaydi. Shuning uchun bizda yoki ma'lumotlar bazasiga egalik qiladigan boshqa birovda xabarlarning mazmunini parolini ochish va ko'rish imkoniyati yo'q.
• Ma'lumotlar bazamizdagi har bir yozuv 1 daqiqadan 2 haftagacha (sukut bo'yicha 1 haftagacha) davom etadi. Bu vaqt o'tganidan so'ng, yozuv avtomatik ravishda o'chiriladi. Shuning uchun bizning ma'lumotlar bazamizdagi har qanday ma'lumot yaratilganidan ko'p o'tmay o'chiriladi .
• Biz faqat oxirgi 24 soatlik veb-server jurnallarini yuritamiz . Ma'lumotlar bazasida saqlangan har qanday IP ma'lumot xavfsiz tarzda yig'ilib, asl IP-ni chiqarib olishning iloji yo'q.
• Ushbu xizmatni quvvatlaydigan barcha kodlar ochiq manbali va ko'rib chiqish uchun mavjud. Shifrlashni ishlatadigan kodni osongina ko'rishingiz mumkin - bu ataylab qisqa, aniq va sharhlangan.
• Xavfsizlikni mustahkamlashga yordam beradigan bir qator texnik choralar ko'rilmoqda - ulardan ba'zilari quyidagilarni o'z ichiga oladi:
  • / Api -dan boshqa barcha veb-sayt statik va sahifalarda server kodini qo'llab-quvvatlamaydi (ya'ni PHP / JSP / ASP / va boshqalar).
  • Brauzerning bir qismi bo'lgan veb-kripto API barcha xabarlar tarkibini shifrlash uchun ishlatiladi.
  • TLS brauzeringiz va bizning serverlarimiz o'rtasidagi aloqalarni shifrlash uchun ishlatiladi. Bu kodni ushlab turish yoki tranzit paytida o'zgartirish mumkin emasligini ta'minlashga yordam beradi. TLS 1.3 qo'llab-quvvatlanadi, ammo biz eski qurilmalar uchun TLS 1.2-ni ham qo'llab-quvvatlaymiz. TLS ning eski versiyalari o'chirilgan, chunki ular unchalik xavfsiz emas.
  • Sertifikatning shaffofligi jurnallari sertifikat noto'g'ri berilganligi uchun nazorat qilinadi. Bundan tashqari, biz sertifikatning kutilmagan yoki zararli ravishda buzilish xavfini kamaytirish uchun Sertifikatlash Markazining avtorizatsiyasi (CAA) siyosatini nashr etamiz.
  • Brauzerlarning har doim TLS protokoli yordamida serverlarimiz bilan aloqa qilishlarini ta'minlash uchun biz HTTP qat'iy transport xavfsizligi (HSTS) dan foydalanamiz. Bundan tashqari, biz o'z domenlarimizni oldindan yuklash ro'yxatiga kiritamiz.
  • Saytlararo skriptlar (XSS) hujumlarini oldini olish uchun qat'iy kontent xavfsizligi siyosati qo'llaniladi.
  • Cross-Origin Resurs siyosati , Cross-Origin Embedder Policy va Cross-Origin Opener siyosatidan foydalangan holda biz Spectre va Meltdown kabi spekulyativ yon kanal hujumlariga qarshi kurashishda yordam berish uchun o'zaro bog'liqlik kodini taqiqlaymiz. Bu, shuningdek, brauzer kontekstini faqat bitta manbadan olingan hujjatlarga ajratib, boshqa manbalardan kelib chiqishi mumkin bo'lgan zararli so'rovlardan himoya qiladi.
  • Brauzer sizning joylashuvingiz, veb-kamerangiz, mikrofoningiz va boshqalar kabi shaxsiy hayotingizga zarar etkazadigan manbalarni yuklashiga yo'l qo'ymaslik uchun biz Ruxsatnoma siyosatidan foydalanamiz.
  • DNSSEC DNS-ga asoslangan MITM hujumlarini yumshatish uchun barcha domenlarimizdan foydalaniladi.
  • Serverni himoyalash uchun bir qator ehtiyot choralarini ko'ramiz.
  • Uchinchi tomon kodi yuklanmagan (ya'ni jQuery) va juda oz miqdordagi resurslar yuklangan (tekshirish uchun Dev Tools-da Tarmoq yorlig'ini oching) - bu tekshirish uchun zarur bo'lgan harakatlarni minimallashtiradi. Bitta istisno, agar CAPTCHA kerak bo'lsa - hCaptcha- dan uchinchi tomon kodini yuklaydi. Biroq, hCaptcha kodi o'zining CSP qoidalari bo'yicha o'z URL manziliga yuklanadi va hech qachon xabar bilan bog'liq bo'lgan narsalarga kirish huquqiga ega emas.
  • MITM hujumlaridan himoyalanishda yordam beradigan vosita sifatida brauzer kengaytmalari mavjud .

Nega men bu erda xabarni parolini hal qilish uchun havolani oldim?

Bu tarjimada xatolar bo'lsa uzr so'raymiz. Ushbu xizmat shunchaki shifrlangan xabarni bir nuqtadan boshqasiga uzatadi va siz uni qabul qiluvchisiz. Yaqinda xabar o'chiriladi. Ushbu xizmat operatorlarida xabar tarkibini o'qish imkoniyati yo'q. Odatda, kimdir ushbu xizmatdan xabarlar mazmuni turli ma'lumotlar bazalari / qurilmalar / xizmatlar / fayllar / va hokazo ichida qolishini istamaganda foydalanadi. elektron pochta / tezkor xabar / matn / va boshqalarni yuborishda odatdagidek. Agar parolni echishga qaror qilsangiz, iltimos, quyidagilarni yodda tuting:

• Ehtimol, xabar parolini ochish uchun qurilmangizga yuborilgandan so'ng darhol o'chiriladi. Bu shuni anglatadiki, siz xabarni parolini ochish uchun tugmani bosganingizdan so'ng, biz sizni keyinroq qayta yuborish uchun nusxamiz yo'q.
• Biz olingan barcha ma'lumotlarni muntazam ravishda o'chirib tashlaymiz. Xatlar yaratilganidan keyin bir daqiqadan ikki haftagacha bo'lgan vaqt ichida har qanday joyda o'chiriladi - bu xabar qachon parolini hal qilishidan qat'iy nazar. Boshqacha qilib aytganda, agar sizga xabarni o'qish kerak bo'lsa, uni parolini hal qilish uchun uzoq kutmang.
• Yuboruvchi, ehtimol, xabar mazmuni bilan ehtiyotkorlik bilan ishlash kerak deb hisoblaydi. Hatto ular nusxa olinmasligini xohlashlarini bildirgan bo'lishi mumkin. Iltimos, ularning istaklarini hurmat qiling.
• Agar siz xabarni parolini ochish uchun parol so'ralsa, brauzer oynasini / yorlig'ini yopmang. Ushbu ro'yxatdagi birinchi o'q nuqtasiga ko'ra, keyinchalik boshqa nusxasini yuborib bo'lmaydi. Parolni kiritguningizcha brauzer oynasini / yorlig'ini ochiq qoldiring. Agar siz noto'g'ri parolni kiritgan bo'lsangiz, sizdan yana so'raladi. Parolni aniq kiritish kerak. Shuni yodda tutingki, turli xil tillarga va parol talablariga javob berish uchun biz parollarda juda ko'p turli xil belgilarni qabul qilamiz.

Siz ushbu saytga yuborilgan barcha narsani o'chirib tashlaysizmi?

Bizning axlat qutisi logotipimizga tegishli ... uni olganidan ko'p o'tmay hamma narsa o'chib ketadi. Barchasini o'chirish avtomatlashtirilgan - bu serverga yozilgan. Shu tarzda o'ylab ko'ring - ikkita ma'lumot taqdim etilgan:

• Tarkibni parolini hal qilish uchun bizda hech qanday imkoniyat yo'q shifrlangan xabarlar
• Internetdagi har qanday narsani yuborishga xos bo'lgan boshqa ma'lumotlar (ya'ni sizning IP-manzilingiz va boshqalar).

Xabarlarga kelsak, ularni qachon o'chirib tashlaganimizni quyidagicha belgilashingiz mumkin:

• Hech kim uni qabul qilmasa (1 daqiqadan 2 haftagacha - standartlar 1 haftagacha) xabarni qancha vaqt saqlashimiz kerak.
• Xabar necha marta olinadi (1 martadan 100 martagacha - sukut bo'yicha 1 marta)

Odatiy bo'lib, xabar haqida hamma narsa bir marta olinganidan yoki 1 haftalik bo'lganidan keyin o'chiriladi - qaysi biri birinchi bo'lib sodir bo'lsa. Internetda biron bir narsani yuborishga xos bo'lgan boshqa barcha ma'lumotlarni (ya'ni sizning IP-manzilingiz va boshqalarni) yo'q qilish haqida gap ketganda, biz uning qachon va qanday o'chirilishini nazorat qilmaymiz - ularning barchasini har 24 soatda o'chirib tashlaymiz. .

Nima uchun ushbu xizmatdan foydalanish kerak?

Ushbu xizmat siz yuboradigan / qabul qiladigan xabarlarni doimiy ravishda o'zgartirishga yordam beradigan vosita. Internetda muloqot qiladigan narsalarning aksariyati (suhbatlar, matnlar, elektron pochta xabarlari va boshqalar) saqlanadi va kamdan-kam o'chiriladi. Ko'pincha, biror narsani o'chirib tashlaganingizda, u aslida o'chirilmaydi, aksincha o'chirilgan deb belgilanadi va endi sizga ko'rsatilmaydi. Sizning umumiy kommunikatsiyalaringiz ma'lumotlar bazalarida va siz boshqarolmaydigan qurilmalarda yil sayin to'planib boradi. Muqarrar ravishda sizning aloqaingizni saqlaydigan bir yoki bir nechta tashkilot / odamlar / qurilmalar buzib tashlanadi va sizning ma'lumotlaringiz oshkor bo'ladi. Ushbu muammo shunchalik keng tarqalganki, hozirda buzilgan va foydalanuvchi ma'lumotlarini tarqatib yuborgan tashkilotlarni kuzatadigan ko'plab veb-saytlar mavjud. Uchidan-uchiga shifrlangan vaqtinchalik xabarlar sizning ba'zi aloqa vositalaringizni doimiyligini oshirishga yordam beradigan oddiy echimdir. Ushbu saytga yuborilgan har bir xabarda 1 daqiqadan 2 haftagacha bo'lgan vaqt mavjud - bu vaqt o'tganidan keyin xabar o'chiriladi. Bundan tashqari, standart sozlama har qanday xabarni qabul qiluvchidan keyin o'chirib tashlashdir. Bundan tashqari, barcha xabarlar sizning qurilmangizdan qabul qiluvchining qurilmasiga qadar shifrlanadi. End-to-end shifrlashdan foydalanishning asosiy maqsadi - har qanday yuborilgan xabarlarni o'qish qobiliyatimizni yo'qotish va shu bilan ishonch talabining bir qismini olib tashlash. Natijada, oddiy havola orqali shifrlangan xabarni yuborish oson. Ushbu xabar yuborilganidan ko'p o'tmay yoki qidirib topilgandan so'ng o'chiriladi. Sizga maxsus dasturlarni o'rnatish / sozlashning hojati yo'q. Hisob qaydnomasi yaratishingiz yoki shaxsiy ma'lumotlaringizni taqdim etishingiz shart emas. Qabul qiluvchining sizning kontaktlaringizda bo'lishi yoki hatto ushbu xizmat haqida bilishi shart emas - ular havolani bosishlari mumkin bo'lgan yagona talab.

Bu xabar almashish xizmatimi?

Yo'q. Ushbu xizmat tezkor xabar yuborish / elektron pochta / matn / etc kabi mavjud bo'lgan xabar almashish xizmatlarini to'ldirish uchun mo'ljallangan. yuborilgan xabarlarning uzoq vaqt saqlanishiga yo'l qo'ymaslik qobiliyatini qo'shish orqali. Biz yaratilgan havolani qabul qiluvchiga etkazib bermaymiz .

Amalga oshiriladigan holatlar qanday?

Xo'sh, ushbu xizmatdan foydalanish uchun qanday stsenariylar mavjud? Shaxsiy hayoti va xavfsizligi haqida gap ketganda, har kimning ehtiyojlari va talablari har xil bo'lsa-da, men shaxsan quyidagi holatlarni tegishli foydalanish holatlari deb topdim:

• Siz mahalliy veb-forum orqali ushbu hududdagi velosiped yo'llari haqida suhbatlashdingiz va ba'zida forumda odamlar bilan uchrashib, yangi yo'llarni birga tomosha qildingiz. Forumdan kimdir sizni ushbu dam olish kunlari avtoulovni to'xtatish uchun o'zingizning joyingizga olib ketmoqchi. Siz o'zingizning manzilingizni ushbu veb-sayt forum ma'lumotlar bazasida abadiy o'tirishini xohlamaysiz. Ushbu xizmat orqali manzilni yuborish kifoya - bu veb-sayt forumi ma'lumotlar bazasida joylashgan havola, lekin uni qabul qiluvchi o'qiganidan so'ng xabar / manzil o'chiriladi.
• Siz ukangizga Netflix loginingizni yuborishingiz kerak, chunki sizning jiyaningiz uni COVID blokirovkasi tufayli aqldan ozdirmoqda va u hali ham o'z hisobiga ega emas. Siz ushbu tizimga kirishingizni unchalik qiziqtirmaysiz, lekin sizning akangiz men shunchaki "raqamli gigiena" deb ataydigan narsada juda yomon ishlaydi va kirishlar va zararli dasturlar buzilgan holda ko'plab sinovlarga duch kelgan. Keyingi urinishlarda uni o'zini tozalashga majbur qilish va hattoki unga xavfsiz xabarlarni o'rnatish ham muvaffaqiyatsiz tugadi. Buni shunchaki matnli xabar orqali yuborish, ehtimol, eng yaxshi variant (afsuski), ammo o'tgan tajriba tufayli ushbu kirish uning xabarlar tarixiga kirishiga noqulaydir. Ushbu xizmatdan foydalanib, kirishni matnli xabardagi havola orqali yuborish orqali uning chat tarixida login abadiy qolishiga yo'l qo'yilmaydi.
• Siz ba'zan bir idorada ishlaysiz, u erda hamma soatlab keladigan va ketadigan ko'plab ijarachilar mavjud. U erda WiFi foydalanish mumkin, ammo parol har hafta almashtiriladi, chunki suiiste'mol qilish bilan bog'liq muammolar mavjud. Ko'pgina ijarachilar WiFi parolini old stolda bo'lishiga qaramay elektron pochta orqali / matn bilan so'rashadi, chunki ko'pchilik old asosiy kirish orqali kirmaydi. Ushbu xizmatdan foydalangan holda ofis menejeri WiFi parolini elektron pochta manzilidagi havola orqali yuborishi mumkin / matnli javob parolni kutib turishiga yo'l qo'ymaydi va shuningdek, qabul qiluvchiga darhol mobil qurilmalarda unchalik bemalol bo'lgan nusxalash tugmasi orqali parolni nusxalashga imkon beradi.
• Xosting provayderlaridan biri siz xabar bergan server haqida batafsil ma'lumot so'raydi, bu qattiq disk alomatlari yomon ko'rinadi. Ularga kerak bo'lgan ba'zi ma'lumotlar biroz sezgir - siz ular foydalanadigan uchinchi tomon chiptalari tizimida abadiy o'tirishini xohlamaysiz. Ushbu xizmatdan foydalanib, siz ma'lumotni chipta tizimida bo'lmasdan qo'llab-quvvatlash bo'yicha mutaxassislarga yuborishingiz mumkin. Bir nechta texnik xodimlar ma'lumotlarga bir necha bor murojaat qilishlari mumkin bo'lganligi sababli, birinchi qabul qilishda xabar o'chirilmasligi uchun "jonli o'qish" qiymatini 1 dan kattaroq qilib belgilang (ya'ni 20 ga teng).
• Sizga qo'ng'iroq qilishlari uchun telefon raqamingizni bilish uchun Reddit-da boshqa foydalanuvchiga shaxsiy xabar yuborishingiz kerak. Reddit, boshqa ko'plab provayderlar singari, ilgari ham foydalanuvchi ma'lumotlarini tarqatgan va siz telefon raqamingizni keyingi nashrga qadar yillar davomida faqat Reddit ma'lumotlar bazasida o'tirishini xohlamaysiz. Ushbu xizmat orqali telefon raqamingizni yuboring.
• Sizning ishingiz paytida sizning turmush o'rtog'ingiz sizga kommunal xizmatga kirishni xohlagan holda xabar yuboradi, chunki uning do'sti elektr energiyasida pulini tejaydigan yangi dasturni sinab ko'rdi va u buni tekshirmoqchi. Siz unga eslatadigan umumiy oilaviy parol menejeri bor, lekin u faqat loginni yuborishingizni xohlaydi. OMEMO turmush o'rtog'ingiz bilan tezkor xabar almashish uchun ishlaydi va shuning uchun siz xabarlarni tashish xavfsizligiga juda ishonasiz; ammo, suhbat tarixining o'zi shifrlanmagan holda saqlanadi. Sizning turmush o'rtog'ingiz har doim ham yuklamalar, elektron pochta xabarlari va hokazolarga ehtiyotkorlik bilan yondashmaydi va kommunal xizmatlar uchun to'lovlar biroz sezgir bo'ladi, chunki ular yashash joyini tasdiqlash uchun shaxsni o'g'irlash uchun ishlatilishi mumkin. Nusxasi kompyuterida saqlanib qolmasligi uchun unga ushbu xizmat yordamida kirish ma'lumotlarini yuborishingiz mumkin.

Ushbu xizmatdan nima uchun foydalanmaslik kerak?

Ushbu savolga javob beradigan barcha sabablarga ko'ra ushbu xizmatdan juda nozik ma'lumotlar uchun foydalanilmasligi kerak. Quyida nima qilmaslik kerakligi haqida bir nechta misollar keltirilgan:

• Xabarlarni noo'rin tashishni "xavfsizroq" qilish uchun ushbu xizmatdan foydalanmang. Birlamchi parametr, xabarni o'qiy oladigan URL manziliga parolni kiritish bo'lgani uchun, havolaga ega bo'lgan har kim xabarni o'qiy oladi. Yuqorida ta'kidlab o'tilganidek, tanlangan transportga tegishli bo'lgan har qanday xavfsizlik / maxfiylik muammolari (ya'ni matn) ushbu vositadan foydalanganda meros qilib olinadi. Masalan, agar siz harakatchanligi sababli ma'lum bir ma'lumot yuborish uchun elektron pochtadan foydalanishni hech qachon o'ylamasangiz, unda siz ushbu xizmatdan elektron pochtaning ushbu qismini "himoya qilish" uchun ishlatmasligingiz kerak.
• Xabarning nusxasi olinmasligini ta'minlash uchun ushbu xizmatdan foydalanmang. Shifrlangan xabarning nusxasini olish paytida darhol o'chirib tashlaganimiz va nusxalashni qiyinlashtirayotganimiz, bu xabarni nusxalash mumkin emas degani emas. Agar oluvchi o'z ekranini suratga olsa nima bo'ladi? Agar ular shunchaki xabarni yozib qo'yishsa-chi? Natijada, agar qabul qiluvchi xabarni o'qiy olsa - nusxasini olish mumkin.
• Xabarni sizga etkazish mumkin emasligini ta'minlash uchun ushbu xizmatdan foydalanmang. Ushbu xizmat xabarni bir nuqtadan ikkinchisiga etkazish uchun boshqa xabarlarni etkazib beruvchiga (ya'ni elektron pochta, chat va boshqalar) bog'liqdir. Xabarlarni tashish sizga xabarni qaytarib berishi mumkin.
• Yuborishni rad qilishni xohlagan narsani yuborish uchun ushbu xizmatdan foydalanmang. Xabarning o'zi o'chirilganligi sababli, o'chirilgan xabarga ishora qilingan o'chirilgan degani emas. Agar siz do'stingizga elektron pochta xabarini yuborsangiz va ushbu elektron pochtaning bir qismida ushbu xizmatning xabariga havola mavjud bo'lsa, tasodifiy o'quvchi xabarda yana bir narsa borligini biladi. Agar havolada ko'rsatilgan xabar uzoq vaqtdan beri yo'qolgan bo'lsa ham - yana bir narsa yuborilganligi va uni siz do'stingizga yuborganingiz aniq.

Nima uchun faqat PGP / Signal / OMEMO / Matrix / va boshqalarni ishlatmaslik kerak?

Agar siz xavfsiz vaqtinchalik xabarlarni jo'natmoqchi bo'lgan odamni bilsangiz, ularni tez-tez yuborib turing, suhbatga o'xshash interfeysni kuting va / yoki qabul qiluvchidan kerakli dasturiy ta'minotga ega bo'lishini kutishingiz va undan qanday foydalanishni bilishingiz mumkin, ehtimol bu veb-sayt eng yaxshi echim. U erda ochiq manbali, veb-ga asoslangan bo'lmagan E2EE-ni qo'llab-quvvatlaydigan va hatto vaqtinchalik xabarlarni qo'llab-quvvatlaydigan Signal kabi ba'zi bir ajoyib variantlar mavjud. Men yaqin do'stlarim va oilam bilan suhbatlashish uchun shaxsiy XMMP serveridan va OMEMO dan foydalanaman. Ushbu saytdan foydalanish faqat qabul qiluvchining qaysi dasturiy ta'minot bilan ishlayotganligini bilmasangiz, ularning telefon raqamlari / aloqa xizmatlarini bilmasangiz, ularning texnik mahoratini bilmasangiz (lekin ular havolani bosishi mumkin deb hisoblasangiz) maqbul bo'lishi mumkin. yoki siz yuborgan xabaringizni asosiy aloqa transportidan tashqarida saqlashni afzal ko'rasiz.

Qanday talablar mavjud?

Veb-kripto API, shu jumladan standartlarni to'g'ri bajaradigan zamonaviy va dolzarb veb-brauzer talab qilinadi. Bunga quyidagilar kiradi: Chrome, Firefox, Edge va Safari (taxminan 2020 yil yoki undan keyin).

Qabul qiluvchilar xabarning nusxasini olishlari mumkinmi?

Ha. Qabul qilgandan so'ng xabar o'zini o'chirib tashlashi mumkin bo'lsa ham, qabul qiluvchi xabarni ko'rishi mumkin. Qabul qilgich xabarni har doim to'liq ko'rishi mumkin, nusxasi olinishi mumkin - bu barcha aloqalarga tegishli. Qabul qiluvchiga nusxasini olishni qiyinlashtiradigan variant mavjud. Bunday holda nusxalashga uchta to'siq amalga oshiriladi:

• Nusxalash tugmasi o'chirildi. Ushbu tugma qabul qiluvchiga butun xabarni o'z clipboardiga ko'chirishga ruxsat berish uchun standart hisoblanadi.
• Yuklash tugmasi o'chirildi. Ushbu tugma odatiy ravishda qabul qiluvchiga xabarni matnli fayl sifatida yuklab olish imkoniyatini beradi.
• Xabar matn qutisi ichidagi matnni tanlash imkoniyati o'chirildi.

Biroq, ushbu nusxalarni himoya qilish kuchsizdir, chunki ularni chetlab o'tish mumkin. Shuningdek, qabul qiluvchi har doim shunchaki skrinshot yoki xabarning fotosuratini olishi mumkin.

Shaxsiy ma'lumotlar to'planganmi?

Biz foydalanuvchi hisoblarini qo'llab-quvvatlamaymiz (ya'ni foydalanuvchi nomi / parol). Sizni aniqlaydigan biron bir ma'lumot to'plamaymiz (ya'ni ism / manzil / elektron pochta / telefon). Ehtimol siz yuborayotgan xabarda ba'zi shaxsiy ma'lumotlar bo'lishi mumkin, ammo bu shifrlangan va bizda uni o'qish imkoniyati yo'q. Iltimos, to'liq ma'lumot uchun bizning maxfiylik siyosatimizni ko'rib chiqing.

Qaysi ma'lumotlar qayd qilingan?

Bizning veb-serverimiz barcha veb-harakatlar uchun 24 soatgacha umumiy jurnal formatini saqlaydi. Bunga HTTP mijozlarining to'liq IP-manzilini qayd etish kiradi. 24 soatdan keyin ushbu qayd qilingan ma'lumotlar avtomatik ravishda o'chiriladi. / Api-ga yuborilgan barcha so'rovlar POSTed, chunki veb-server tomonidan hech qanday maxsus ma'lumot kiritilmaydi. Bundan tashqari, ma'lumotlar bazasiga saqlangan har qanday ma'lumot samarali qayd qilinadi. Ma'lumotlar bazasidagi barcha yozuvlar, shu jumladan anonimlashtirilgan va xeshlangan IP-manzillar, amal qilish muddati (TTL) ni o'z ichiga oladi va undan keyin ular avtomatik ravishda o'chiriladi. TTLning amal qilish muddati 1 daqiqadan 2 haftagacha o'zgarib turadi.

Serverlarni himoyalash uchun nima qilyapsiz?

Server xavfsizligi aniq tashvish. Uning xavfsizligini ta'minlash uchun biz ikkita asosiy yo'nalishga e'tibor qaratamiz:

• Birinchidan, iloji boricha kamroq vaqtni iloji boricha kamroq vaqt ichida saqlaymiz, shunda server buzilib qolsa, har qanday ma'lumot oqishi foydalanuvchilarimizga zarar etkazmaydi. Ma'lumotlar bazasida saqlangan barcha xabarlar ularni parolini hal qilish uchun hech qanday vositasiz shifrlangan. Hech qanday xabarni biron bir foydalanuvchilarga bog'laydigan hech narsa saqlanmagan, chunki biz foydalanuvchilarimizdan shaxsiy ma'lumotlarni to'plamaymiz. Ma'lumotlar bazasidagi barcha yozuvlarning amal qilish muddati (TTL) 1 daqiqadan 2 haftagacha - bu vaqt o'tganidan keyin yozuv avtomatik ravishda o'chiriladi. Shu sababli, ma'lumotlar bazasida bo'lgan ma'lumotlarning aksariyati uzoq vaqt oldin allaqachon o'chirilgan.
• Biz murosani oldini olish va yuzaga keladigan har qanday murosani o'z ichiga olish uchun bir qator choralarni ko'ramiz:
  • Veb-server nginx , ajratilgan konteynerda, imtiyozsiz foydalanuvchi sifatida, jurnallardan boshqa narsalarga yozish huquqisiz ishlaydi. Konteyner o'zining SELinux kontekstida ishlaydi, bundan tashqari har qanday fayl tizimining o'zgarishi yoki konteynerdan osonlikcha qochishi mumkin emas. PHP / ASP / JSP / etc uchun yordam yo'q. - faqat statik resurslarga xizmat qilish.
  • / Api ishlaydigan kod Go-da yozilgan bo'lib, u buferning haddan tashqari zaifliklariga (umumiy hujum vektori) nisbatan chidamli bo'lishi kerak. Go jarayoni, shuningdek, ma'lumotlar bazasidan boshqa hech narsaga yozish huquqisiz, xavfsiz bo'lmagan foydalanuvchi sifatida ajratilgan konteynerda ishlaydi. Konteyner o'zining SELinux kontekstida ishlaydi, bundan tashqari har qanday fayl tizimining o'zgarishi yoki konteynerdan osonlikcha qochishi mumkin emas. Ma'lumotlar bazasi, badgerdb , Go jarayonining bir qismidir (tashqi ma'lumotlar bazasiga bog'liqlik / jarayon yo'q).
  • Server kelishuvining asosiy xavfi shundaki, tajovuzkor fayllarni foydalanuvchilarimiz maxfiyligi / xavfsizligiga zarar etkazadigan tarzda o'zgartirishi mumkin. Maxsus jarayon barcha veb-sayt fayllarini har qanday o'zgarishlarni kuzatib boradi va o'zgarish yuz berganda darhol bizni ogohlantiradi.
  • Barcha ma'muriy kirish himoyalangan va vakolatli tarmoqlar bilan cheklangan.

Ushbu saytdan foydalanganda qanday xavfsizlik xavfi mavjud?

Ushbu xatarlarning ayrimlarini aniq ko'rib chiqishdan oldin, menimcha, yarim qisqa o'xshashlik har qanday Internet-aloqadan foydalanishdagi xatarlarni umumlashtirishga yordam beradi. Har qanday tizim faqat zanjirning eng zaif bo'g'ini kabi xavfsizligini tasavvur qiling. Endi stsenariyni tasavvur qiling, muhrlangan xonada ikki kishi nima qilishini ko'rish, eshitish yoki yozib olish imkoniyati yo'q. Biri xabarni o'qiganida uni yoqib yuboradigan boshqasiga xabar yuboradi. Agar xonadan tashqarida kimdir allaqachon o'tgan xabarni olishni istasa, bu juda qiyin bo'ladi. Xabarni olish uchun eng zaif havola nima? Tanlash uchun juda ko'p havolalar mavjud emas - bu juda qisqa zanjir. Endi tasavvur qiling-a, Internetda xabar yuborganingizda, zanjirda kamida millionta bog'lanish bor - ularning aksariyati zaif - ko'plari sizning nazoratingizdan tashqarida - va bu haqiqat.

Shifrlashdan foydalanish yuqoridagi millionlab bog'lanish muammosiga katta yordam beradi va uni osonlikcha yaxshi ishlab chiqilgan E2EE tizimlari oxir-oqibat echimini taklif qiladi degan fikrga jalb qilish. Ammo, bu fikrlash sizni muammoga duchor qilishi mumkin, chunki tajovuzkor odatda tizimdagi kuchsiz havolalardan keyin boradi. Masalan, telefoningizni yoki kompyuteringizni egallab olish, kirish yozuvchisini o'rnatish shunchaki osonroq bo'ladi, chunki siz yozgan hamma narsani o'qish uchun, shifrlangan xabarlarni sim ustiga urishdan ko'ra osonroq bo'ladi. Xulosa shuki, agar menga hayotiy / o'ta muhim sirni etkazish vazifasi yuklangan bo'lsa, men faqat so'nggi murojaat qilish usuli sifatida elektron aloqa vositalaridan foydalanar edim.

Shunday qilib, har qanday aloqa vositalaridan foydalanish xavfsizligi xavfi mavjud, ammo siz baribir bank ishlarida, narsalar sotib olishda, elektron pochta xabarlarida va hokazolarda veb-brauzerdan foydalanasiz. Bu katta qulayliklar uchun qabul qilingan xavfdir. Haqiqatan ham savol ... ushbu sayt uchun qanday xavfsizlik xavfi mavjud? Bir nechtasi aqlga keladi:

• Ehtimol, ushbu xizmat uchun eng katta xavf va eng noyob narsa shundaki, bizning foydalanuvchilarimiz jo'natish kerak bo'lgan narsa va jo'natish uchun mos bo'lmagan narsani farqlashda yaxshi fikrdan foydalanmaydilar. Ba'zan "Men ushbu ma'lumotni elektron pochta orqali yuborishni ma'qul ko'raman - shunchaki elektron pochta xabarini o'qiganimdan keyin o'chirib tashlanishini istayman" va "Men bu ma'lumotni elektron pochta orqali yuborish menga qulay emas - elektron pochta - bu noo'rin transport" degan farq juda nozik bo'lishi mumkin.
• Ushbu sayt operatorlari aslida yomon aktyorlar odamlarni xizmatdan foydalanib, ba'zi bir qorong'i maqsadlarni qo'lga kiritishlariga tahdid qilishadi. Biz ishonarli darajada ishonchli narsalarga duch kelamiz - hamma narsani oson va bepul qilish - ko'p odamlar ushbu xizmatdan foydalanishlari - shu bilan birga yomon niyat bilan. Bxvahaxaxa! Qanday qilib bizga ishonishingiz mumkin?
• Bizning kodimiz xavfsizlikka ta'sir qiladigan xatolarga yo'l qo'yishi mumkin yoki biz bu haqda yaxshi o'ylamagan edik va bizning kamchiliklarimiz endi foydalanuvchilarimizga keraksiz xavf tug'diradi. Ishonamizki umid qilmaymiz - lekin buni inkor eta olmaymiz.
• Shaxsiy aloqa boshqa trafik bilan uyg'unlashishi oson bo'lgan ulkan tarmoqlariga doimiy ravishda kirib boradigan shifrlangan ma'lumotlar terabitlariga ega bo'lgan texnitanlardan (ya'ni Google / Facebook / Whatsapp) farqli o'laroq, avtonom markazlashtirilgan xizmatlar (ya'ni Signal, Telegram va biz) ajralib turamiz. Tarmoq operatori yoki hatto yirik tashkilot / hukumat uchun xxxx IP-manzili XYZ xizmatidan foydalanayotganini ko'rish oson.
• Ushbu saytga xos bo'lmaganligi bilan birga, uni har qanday veb-saytga qarshi ishlatish mumkinligi sababli, o'rtada odam (MITM) hujumlari dolzarb muammo hisoblanadi .

O'rtada odam (MITM) hujumlari bilan nima qilyapsiz?

Veb-saytlarning barcha foydalanuvchilari potentsial ravishda MITM hujumining qurboni bo'lishlari mumkin - bu sayt bu borada veb-saytdagi boshqalarnikidan farq qilmaydi. MITM hujumi - bu tajovuzkor foydalanuvchi brauzeri va sayt veb-serveri o'rtasidagi aloqalarni to'xtatishi va o'zgartirishi mumkin. Bu tajovuzkorga saytning har qanday kodini / tarkibini o'zgartirishi mumkin, shu bilan birga oxirgi foydalanuvchiga ular odatlanib qolgan sayt bo'lib ko'rinadi. MITM hujumini qiyinlashtirish uchun ba'zi choralarni ko'ramiz:

• HSTS brauzerlarni faqat TLS orqali ulanishga majbur qilish uchun ishlatiladi. Bizning serverimiz yo'naltirishdan tashqari TLS bo'lmagan aloqani e'tiborsiz qoldirish uchun tuzilgan. Faqat 1.2 yoki undan yuqori TLS qo'llab-quvvatlanadi.
• DNSSEC bizning domen zonasini imzolash uchun ishlatiladi. Agar foydalanuvchi DNSSEC xabardor rekursiv echimidan foydalanayotgan bo'lsa, bu MITM hujumlarini amalga oshiradigan DNS-firibgarlikni to'xtatishi mumkin.
• Biz domenimizga havola qilingan har qanday ruxsatsiz TLS sertifikatlarini beradigan sertifikat idoralarini kuzatish uchun xizmatdan foydalanamiz.
• Oxirgi foydalanuvchi qurilmasida saqlangan kod yordamida xabarlarni shifrlashni qo'llab-quvvatlash uchun biz brauzer kengaytmalarini nashr etdik.

Biroq, MITM hujumi har doim ham mumkin - ayniqsa tajovuzkor katta / qudratli tashkilotlar yoki hukumatlar uchun bo'lgani kabi tarmoq / ochiq kalit infratuzilmani boshqarsa. Biz ba'zi MITM xavflarini kamaytirishga yordam beradigan brauzer kengaytmalarini taklif etamiz.

Brauzer kengaytmalari qanday afzalliklarga ega?

Biz qo'shimcha qulaylik va qo'shimcha xavfsizlikni ta'minlash vositasi sifatida brauzer kengaytmalarini taklif etamiz. Oddiy qilib aytganda ... Kengaytmalar vaqtinchalik xabarlarni yuborishni tezroq va osonlashtiradi. Shifrlash va xabar tayyorlash uchun ishlatiladigan barcha kodlar kengaytma ichida mahalliy darajada saqlanganligi sababli ba'zi xavfsizliklarga erishiladi. Kod mahalliy darajada saqlanganligi sababli, bu jo'natuvchiga MITM hujumlaridan himoya qiladi. Shunga qaramay, shuni ta'kidlash kerakki, kengaytmalar xabar tarkibini buzadigan MITM hujumidan ko'proq himoya qilishni taklif qilsa-da, MITM hujumi hali ham samarali bo'lishi mumkin (ya'ni TOR / VPN va boshqalarni ishlatmasa, jo'natuvchining IP-manzilini aniqlash uchun).

Qanday qilib yuborilgan narsa oxiridan oxirigacha shifrlanganligini qanday aniq bilsam bo'ladi?

Boshqa ko'plab mashhur uchidan-uchiga shifrlangan (E2EE) chat mijozlaridan farqli o'laroq, xabar yuborganingizda bizga nima yuborilishini aniq ko'rish juda sodda. Quyidagi video ko'rsatma serverga yuborilgan xabarlarni parolini hal qilishning imkoni yo'qligini qanday tasdiqlashimizni ko'rsatib beradi.

Bundan tashqari, agar siz o'ylab ko'rsangiz, biz maxfiy agentlik bo'lmasak, biz maxfiy xabarlarni yig'ishga harakat qilmasak, bizda xabarlarni parolini hal qilishning foydasi yo'q, chunki bunday qobiliyat faqat biz uchun muammolarni keltirib chiqaradi. Biz hatto xabarlarni saqlamoqchimiz ham yo'q - bu ularni etkazish uchun zarur bo'lgan yomonlikdir.

Ushbu saytda uchidan uchgacha shifrlash qanday ishlaydi?

Ayni paytda biz nosimmetrik shifrlashdan (AES-GCM 256bit) parollardan olingan kalitlar bilan foydalanmoqdamiz (PBKDF2 / SHA-256 ning kamida 150 000 marta takrorlanishi). Asimmetrik shifrlashdan foydalanilmaydi, chunki 1) aloqani boshlash uchun jo'natuvchi 2) jo'natuvchi va qabul qiluvchining bir vaqtning o'zida onlayn bo'lmaganligi va 3) qabul qiluvchi haqida ma'lumot yo'qligi va 4) biz narsalarni sodda saqlashga harakat qilamiz va kalitlarni boshqarish murakkab. Standart veb-kripto API RNG, shu jumladan barcha kriptografik funktsiyalar uchun ishlatiladi. Asosan, nima bo'ladi:

1. Oxirgi foydalanuvchi parolni tanlaydi yoki avtomatik ravishda yaratiladi
2. Kerakli PBKDF2 / SHA-256 takrorlanish sonini olish uchun API chaqiruvi amalga oshiriladi ( bu qadam spam-nazorat uchun talab qilinadi )
3. 32 baytli tuz hosil bo'ladi
4. Kalit tuz va paroldan olingan
5. 12 baytli boshlanish vektori (IV) hosil bo'ladi
6. Xabar + IV tugmasi yordamida shifrlanadi
7. Takrorlash soni, tuz, IV va shifrlangan matn serverga yuboriladi (TTL, RTL va boshqalar kabi ba'zi boshqa ma'lumotlar bilan birga)
8. Server xabarga ishora qiluvchi tasodifiy identifikatorni qaytaradi
9. Keyin brauzer oxirgi foydalanuvchiga qaytarilgan identifikator va parolni o'z ichiga olgan yoki parolsiz havolani taqdim etadi (bu holda qabul qiluvchi parolni bilishi va kiritishi kerak)
10. Agar parol havolaning bir qismi bo'lsa, u URL xeshida bo'ladi va shuning uchun qabul qiluvchi GET so'rovini yuborganida hech qachon serverga yuborilmaydi
11. Qabul qiluvchining xabarni parolini ochish va ko'rishni xohlashi so'raladi
12. Brauzer xabar identifikatorini ko'rsatgan holda so'rov yuboradi
13. Agar jo'natuvchi CAPTCHA-ni to'ldirishni talab qilsa, qabul qiluvchi o'zlarining odam ekanliklarini isbotlash uchun boshqa URL manziliga yo'naltiriladi (o'tgandan keyin ular orqaga yo'naltiriladi)
14. Server shifrlangan xabarni yuboradi va agar o'qish (RTL) bitta bo'lsa, u holda sukut bo'yicha xabarni o'chirib tashlaydi.
15. Qabul qiluvchining xabarni parol bilan parolini hal qiladi (va URLda bo'lmasa, parol so'raladi)

Ushbu sozlash juda sodda va jo'natuvchining qurilmasidan qabul qiluvchining qurilmasiga xabarlarni shifrlashni taklif qiladi, ammo, albatta, assimetrik shifrlash faqat qabul qiluvchining shaxsiy kalitiga ega bo'lgan kishining xabarni parolini ochishini bilish uchun taqdim etishi mumkinligiga kafolat bermaydi. Havolaga ega bo'lgan har bir kishi standart ssenariyda parol URLning bir qismi bo'lgan xabarni ochishi mumkin - bu havola uchun tegishli transport vositasidan foydalanish muhimligini ta'kidlaydi (ya'ni elektron pochta / chat / matn / va hokazo) - qarorni qoldirgan jo'natuvchi. Agar bizda qiziqish bo'lsa, biz juda oddiy assimetrik sxemani qo'llab-quvvatlashimiz mumkin, bu orqali qabul qiluvchi xabar uchun so'rov yuboradi va ushbu so'rovni xabarni yuboruvchiga yuboradi. Ushbu sozlash URL manzilida parolga bo'lgan ehtiyojni yo'q qiladi, shuningdek, jo'natuvchining boshlash qobiliyatini yo'q qiladi.

Shifrni ochish paroli URL manzilida bo'lishi mumkinmi?

Ha. Bu, shubhasiz, xavfsizlikka ta'sir qiladi, chunki havolani yuborish uchun ishlatiladigan usul xavfli bo'lsa, xabar assotsiatsiya tomonidan xavfli hisoblanadi. Ushbu muammoni bartaraf etish bo'yicha barcha echimlar foydalanuvchi tajribasiga ta'sir ko'rsatadigan qo'shimcha qadamlar va murakkabliklarni keltirib chiqaradi (ya'ni xabarni yuborishdan oldin narsalar ikkala tomonda ham o'rnatilishi kerak). Qabul qiluvchilar xabar uchun so'rov yuboradigan va so'rov havolasini yuboradigan assimetrik sxema bizning "hamma narsa vaqtinchalik" asosiy talabimiz bilan ishlashi mumkin - bu amalga oshirilishi mumkin. Oxir oqibat, agar ikki tomon bir-biriga tez-tez xabar yuboradigan bo'lsa, ikkala tomon ham ushbu echimlardan foydalanishi mumkin deb taxmin qilinadigan yaxshiroq echimlar mavjud.

Lekin parolni ochish parolining URL manzilida bo'lishi shart emasmi?

To'g'ri. Agar parolni ochish paroli havolaga kiritilmagan bo'lsa, qabul qiluvchidan parol so'raladi. Agar parol qabul qiluvchiga xavfsiz tarzda etkazilgan bo'lsa (yoki ular buni allaqachon bilsa), bu tutilishdan himoya qiladi. Biroq, kamchilik shundaki, qabul qiluvchi parolni bilishi va to'g'ri kiritishi kerak. Qabul qiluvchiga parolni jo'natishning bir usuli bo'lib, u ushlab qolishdan himoya qiladi:

1. Parolni standart sozlamalari bo'lgan xabarda shifrlang va bu havolani qabul qiluvchiga yuboring.
2. Qabul qiluvchining havolani bosganida va xabarni parolini ochganida, undan oldin hech kim parolni olmaganligini biladi, chunki parolni o'z ichiga olgan xabar o'chirilganda o'chiriladi. Ammo, agar faol MITM hujumi bo'lsa yoki sizning qurilmangiz yoki qabul qiluvchining qurilmasi buzilgan bo'lsa, boshqa birov parolni olishi mumkin.
3. Qabul qiluvchining parolni muvaffaqiyatli qabul qilganligini tasdiqlang. Masalan, agar qabul qiluvchi sizga parolni olish uchun borganida, xabar allaqachon o'chirilgani haqida xabar bersa, siz bilasizki, boshqa birov parolni qabul qiluvchidan oldin olgan va shuning uchun parol buzilgan va ishlatilmasligi kerak.
4. Qabul qiluvchining tasdiqlagan parolidan foydalanib, siz shifrlash uchun xuddi shu parol yordamida xabar yuborishingiz mumkin - faqat havolaning parol bo'lmagan versiyasini baham ko'ring.

Ushbu xizmat havolani qabul qiluvchiga etkazib bermaydi?

Bu to'g'ri - biz havolani yaratamiz va uni qabul qiluvchiga qanday qilib etkazib berishni jo'natuvchiga qoldiramiz. Ushbu xizmatning maqsadi elektron pochta / chat / matn / va hokazo kabi xabarlarni tashishda kamroq doimiylikni ta'minlaydigan imkoniyatni ta'minlashdir. Shu sababli, biz vaqtinchalik xabarga ishora qiluvchi havola mavjud xabar transporti orqali yuborilishini kutmoqdamiz. Bu foydalanuvchilar tushunishi kerak bo'lgan xavfsizlikka ta'sir qiladi. Masalan, SMS-xabarni misol qilib olaylik, chunki bu juda xavfli aloqa usuli. Matnli xabar orqali vaqtinchalik xabar havolasini yuborish uchun ushbu xizmatdan foydalanganda, agar siz parol havolaga kiritilgan standart rejimdan foydalansangiz, havolaga ega bo'lgan har bir kishi xabarni o'qiy oladi va tutishdan himoya qilinmaydi. Ushbu xizmat maxfiylik va xavfsizlikni oshirishi mumkin bo'lgan vaqtinchalik aloqani ta'minlaydi. Bundan tashqari, siz havolani parolsiz yuborishni afzal ko'rishingiz mumkin va bu sizga to'sqinlik qilishdan himoya qiladi.

Ushbu xizmatdan foydalanish paytida shaxsiy hayotimni qanday qilib iloji boricha himoya qilishim mumkin?

Ushbu tez-tez so'raladigan savolning boshqa joylarida muhokama qilinganidek, biz sizning shaxsiy hayotingizni himoya qilish uchun juda ko'p ishlarni amalga oshirgan bo'lsak ham va shaxsiy ma'lumotlarni yig'masak ham, ba'zi jurnallar haqidagi ma'lumotlar biz va boshqalar veb-brauzer yordamida taqdim etiladi va to'planadi. Biroq, shaxsiy hayotingizni yanada ko'proq himoya qilishning bir qancha usullari mavjud. Ochiq kodli dasturiy ta'minotga asoslangan va juda yaxshi ishlaydigan bepul foydalanish usullaridan biri Tor brauzeridan foydalanishdir . Ushbu brauzer sizning shaxsiy hayotingizni bir necha darajalarda himoya qilish uchun mo'ljallangan, shu jumladan Tor tarmog'idan foydalanish . Bizning saytimiz allaqachon Tor piyoz tarmog'i orqali ochilgan, ya'ni Tor orqali saytimizga kirish tugunidan foydalanishni talab etmaydi, bu esa chiqish tugunlari trafigini kimdir tinglashini inkor etadi. Shuni yodda tutingki, ushbu stsenariyda ham sizning Internet-provayderingiz Tor-dan foydalanayotganingizni ko'rishi mumkin - ammo bu nima uchun kerak emas. Siz hatto VPN-ga ulanishingiz mumkin va keyin Tor brauzerini ikki qatlamlik anonimlik uchun ishga tushirishingiz mumkin; Shunga qaramay, sizning Internet-provayderingiz ushbu stsenariyda VPN-dan foydalanayotganingizni hali ham ko'rishi mumkinligini yodda tuting, ammo nima uchun. Agar sizning Internet-provayderingiz qanday protokollardan foydalanayotganingizni bilishni istamasangiz, kutubxona, maktab va boshqalar kabi katta umumiy WiFi tarmog'iga ulanishingiz va keyin Tor brauzeridan foydalanishingiz mumkin.

Agar men Qo'shma Shtatlarga ishonmasam nima bo'ladi?

Bizning serverlarimiz AQShda joylashgan. Bundan tashqari, bizning CDN-provayderimiz Cloudflare Qo'shma Shtatlarda joylashgan kompaniya. Biz o'zimizga yoki bizning serverlarimiz yashaydigan mamlakatga bo'lgan ishonchni shunchaki shaxsiy ma'lumotlarni to'plamasligimiz, biron bir xabarning parolini hal qila olmasligimiz va hamma olinganidan ko'p o'tmay o'chirib tashlanganimiz sababli olib tashlashga harakat qildik. Biroq, biz ba'zi bir ishonchsizlikni tushunishimiz mumkin, chunki bu veb-ga asoslangan, ayniqsa, agar siz ba'zi mamlakatlarda yashasangiz. Biz Islandiya va Shveytsariyada AQShga ishonish qiyin bo'lgan odamlar uchun imkoniyatlarni taklif qilishni rejalashtirganmiz. Iltimos, bu sizga tegishli bo'lsa, bizga xabar bering , chunki haqiqiy talab bo'lmasa, biz alternativalarni taklif qilishga unday olmaymiz.

Spamning oldini olish uchun nima qilyapsiz?

Istalgan vaqtda kimdir havola orqali uzatilishi mumkin bo'lgan xabarni yuborishiga ruxsat berasiz, siz spam-xabarlarni taklif qilasiz. Ushbu muammoni to'xtatish butunlay oddiy emas. Xabarlar yuborish jarayonining bir qismi sifatida biz uchinchi tomon CAPTCHA-ni bir necha sabablarga ko'ra yuklashni xohlamaymiz:

• Biz CAPTCHA'lardan nafratlanamiz - ular vaqt talab qiladi va bezovta qiladi
• Uchinchi tomon javascriptini yuklash maxfiylik va xavfsizlikka tajovuzkor bo'lishi mumkin
• O'zimizning CAPTCHA-ni ishlatish biz hech qachon tugamaydigan whack-a-mol o'yiniga yozilishimizni anglatadi
• Oxir oqibat odamlar ushbu xizmat bilan API orqali o'zaro aloqada bo'lishni xohlashlari mumkin

Ehtimol, ba'zi bir API kalit tizimlaridan foydalanish orqali API muammosini hal qilishimiz mumkin, ammo keyin biz istamagan foydalanuvchi ma'lumotlarini to'plashimiz kerak. Bundan tashqari, spammerlarni ko'plab API kalitlarini olishni to'xtatish uchun nima kerak? Xabarlarni spam-xatosini aniqlash uchun ularni ko'rib chiqa olmaymiz (bu juda yaxshi), chunki xabarlarni shifrlashdan tashqari, biz xabarlarning mazmuni bo'yicha oddiy siyosatimiz bor. Ushbu talablarni hisobga olgan holda biz spamning oldini olish uchun ikkita usulni qo'llaymiz:

• Kerakli PBKDF2 / SHA-256 takrorlash sonini ko'paytirish
  Barcha xabarlarni faqat bir necha marta olish mumkin - bu spammerlar uchun yoqimsiz xususiyat, chunki ular ko'plab xabarlarni yuborishga ishonadilar. Spammer har qanday spam-kampaniya uchun juda ko'p xabarlarni yaratishi kerak bo'lganligi sababli, biz ushbu vazifani juda qimmatga tushirib, ushbu xizmatdan spam uchun suiiste'mol qilishni yoqtirmaydigan ish sifatida tanladik. Bu xabarlarni joylashtiradigan tarmoqlarni kuzatib borish orqali amalga oshiriladi - bu mumkin bo'lgan qidirish hajmi bo'yicha o'lchanadi. Hashdan haqiqiy tarmoq haqida xulosa chiqara olmasligimiz uchun tarmoq ma'lumotlarining o'zi xavfsiz tarzda xeshlangan. Berilgan tarmoq ko'proq xabarlarni yuborishi bilan biz keyingi xabarni yuborish uchun zarur bo'lgan PBKDF2 / SHA-256 takrorlanish sonini ko'paytiramiz. Bu juda tez, bitta xabarni yuborish uchun juda ko'p vaqt CPU talab qilinishiga olib keladi. Umid qilamanki, ushbu usul spamni suiiste'mol qilishni cheklash uchun etarli bo'ladi va shu bilan birga haqiqiy foydalanuvchilarga ta'sir qilmaydi.
• Xabarni olishda foydalanuvchilarning spam-xabarlarini to'plang
  Foydalanuvchi xabarni qabul qilganda xabarning ostida "Spam haqida xabar berish" tugmasi mavjud. Agar xabar spam bo'lsa, umid qilamanki, ba'zilari ushbu tugmani bosish uchun 3 soniya kerak bo'ladi. Spam-xabarni olganimizda, bu bizni ogohlantiradi va shuningdek, ma'lum bir tarmoq uchun kerakli PBKDF2 / SHA-256 takrorlanishiga ta'sir ko'rsatishi mumkin.

Agar siz spamerlar ushbu xizmatdan suiiste'mol qilayotganidan xabardor bo'lsangiz, iltimos, suiiste'mol qilish to'g'risida hisobot yozing .

Nima uchun qabul qiluvchidan CAPTCHA-ni to'ldirishni talab qilish imkoniyati mavjud?

Biz CAPTCHA-larni yoqtirmasligimiz rost, ammo biz ularning maqsadga muvofiqligini va vaqti va makoniga ega ekanligini tan olamiz (hech bo'lmaganda hozircha). Bu jo'natuvchining qabul qiluvchining odam ekanligiga va avtomatlashtirilgan jarayonlar xabarga kira olmasligiga ishonch hosil qilishning oddiy usuli.

Ushbu xizmatni kim boshqaradi va nega u bepul?

Biz ba'zida shaxsiy hayotimizni himoya qilish uchun yaxshi imkoniyatlarga ega bo'lmaslik muammosiga duch kelgan er-xotinmiz. Ko'pincha bu do'stlar va oila a'zolari bilan muloqot qilish natijasida yuzaga keldi, ular o'zlarining qurilmalari va ma'lumotlariga qanday ishlov berishlariga unchalik e'tibor bermaydilar. Boshqa paytlarda bu Reddit kabi veb-forumlardan yoki veb-ga asoslangan qo'llab-quvvatlash tizimlaridan foydalanganda yuz berdi. Biz veb-ga asoslangan vaqtinchalik xabar echimlarini topdik, ammo hech kim E2EE-ni taklif qilmadi, bu ularga ishonishimiz mumkin emasligini anglatadi. Shunday qilib, biz faqat o'z echimimizni qurdik va boshqalarga foyda keltirishi uchun uni berishga qaror qildik.

Yuqoridagi savollarning javoblariga qanday ishonsam bo'ladi?

Haqiqatan ham siz biron bir veb-saytga faqat biron bir narsani aytgani uchun ishonmasligingiz kerak - bu odatda har qanday da'volarni tekshirish uchun yaxshi fikr. Biz uchidan uchigacha shifrlash orqali iloji boricha bizga ishonish talabini olib tashlashga harakat qildik. Masalan, tekshirish oson, shunda biz biron bir xabarni o'qiy olmaymiz, chunki ular shifrlangan . Shuningdek, biz ushbu saytni ishlaydigan javascript kodini juda sodda tutdik, shunda uni o'qish va tushunish oson. Barcha kodlarni ochiq manbaga aylantirish odamlarga nima ishlayotganligini tekshirishga imkon beradi; ammo, server nima ishlayotganini chinakam tasdiqlashning imkoni yo'qligini yodda tuting. Ishonchli talablarning katta qismi uchidan uchigacha shifrlash bilan olib tashlanishi haqiqat bo'lsa-da, bu bizning foydalanuvchilarimiz ushbu xizmatdan foydalanishga qaror qilishda og'irlik qiladigan omil bo'lib qolmoqda.