Сервисы секретных заметок: privnote.com, tmwsd.ws, onetimesecret.com и др.

moder

moder

Администратор
Команда форума
Сервисы секретных заметок - это простая и удобная альтернатива шифрованию переписки, с их помощью можно безопасно общаться по Email, в аське, Скайпе или даже Вконтакте.

Принцип работы сервисов секретных заметок прост: при создании сообщения вы получаете специальную ссылку, которую затем нужно передать вашему собеседнику. При открытии ссылки сообщение уничтожается, таким образом, сообщение можно прочитать лишь один раз (по аналогии "после прочтения - сжечь"). В случае, если посторонние люди перейдут по ссылке на сообщение, которое предназначалось вам, то вы уже будете знать, что информация попала в чужие руки. На сервере сообщения хранятся в зашифрованном виде (как правило, с помощью PGP) - это мера безопасности на случай взлома сервера.

Так ли это безопасно? Это скорее вопрос доверия к администрации сервиса: действительно ли они удаляют сообщения после прочтения и не ведут ли логов. С помощью сервиса секретных заметок может передаваться весьма ценная информация (пароли к электронным счетам, данные карт, место где зарыт клад и т.д.), а значит велик соблазн ее сохранить. Существует также риск, что такие сервисы могут сотрудничать со спецслужбами. Чтобы снизить риски, можно часть информации передавать через один сервис секретных заметок, а часть через другой. Или даже можно создать свой собственный сервис с PGP шифрованием сообщений - инструкцию по созданию собственного сервиса секретных заметок мы выложим на форуме.

Вот как это работает на практике.
сервисы секретных заметок
Сервисы секретных заметок: privnote.com, tmwsd.ws, onetimesecret.com и др.



Популярные сервисы секретных заметок.

privnote.com

Популярный и простой в использовании сервис. К сожалению, сервис не поддерживает русский язык, но последовательность действий интуитивно понятна: пишем в поле ввода сообщение, затем нажимаем кнопку Create Note, копируем полученную ссылку и отправляем собеседнику (только не заходите по ссылке сами, а то сообщение уничтожится). Вы можете также отметить галочку "Notify me when this note gets read", если хотите быть уведомлены по факту прочтения сообщения.


tmwsd.ws
Сайт на первый взгляд может показаться навороченным относительно других подобных сервисов, но он также прост в использовании: пишем сообщение, нажимаем кнопку SAVE THIS MESSAGE, затем копируем ссылку вида https://⌫.ws/2wGoOvYt и передаем собеседнику. На сайте есть возможность задать пароль для сообщения - это обезопасит сообщение от случайного открытия или от прочтения посторонними людьми (если пароль и ссылку передавать разными источниками).
У сервиса есть важная особенность - ссылки на сообщения генерируются со спецсимволом и не все мобильные браузеры их понимают. В таком случае, ссылку вида https://⌫.ws/2wGoOvYt можно заменить на https://tmwsd.ws/2wGoOvYt. Ссылки со спецсимволами не распознаются как гиперссылки в почтовиках или социальных сетях, что, с одной стороны исключает их случайное нажатие, а с другой усложняет открытие (нужно скопировать и вставить в адресную строку).


onetimesecret.com
onetimesecret сервис секретных заметок

Новый интересный сервис секретных заметок. Важной особенностью данного сервиса является то, что при переходе по ссылке нужно еще нажать на кнопку, чтобы прочитать сообщение, а значит, случайно открыть секретное сообщение не получится.
onetimesecret шифрование

Есть еще странная особенность - сервис не дает скопировать текст секретного сообщения. Я сначала подумал, что текст выводится в виде картинки, что служит дополнительной мерой безопасности от перехвата сообщения. Открыв исходный код, я увидел, что запрет на копирование задан стилями. Зачем нужно запрещать копирование текста, в таком случае, не понятно, ведь посредством сервиса могут передаваться данные, которые необходимо сохранить на компьютере, а человек, если он не догадается заглянуть в исходный код, вынужден будет перепечатать текст или сохранить его как скриншот.
 
Последнее редактирование:
MultiVPN

MultiVPN

Member
и еще один: cryptorffquolzz6.onion (или для нелюбителей Tor'а: cryptorffquolzz6.onion.to)
 
Последнее редактирование модератором:
Ларри Капуста

Ларри Капуста

New Member
Я много чем пользовался.

safe-mail.net - 3 мб места, есть русскоязычный интерфейс, SMTP работает только на платном акке, для работы POP3 на бесплатном, нужно раз в месяц заходить в веб-почту. Из особенностей - сразу после регистрации нужно пойти в настройки и выключить проверку по ip, иначе через тор будет постоянно выкидывать. В последнее время совсем испоганился, много писем автоматом уходит в спам, откуда достать их можно только через веб-морду, а повлиять на поведение фильтра можно только за деньги. И да, находится в Израиле, этот факт каждый оценивает по-своему.

[ссылка не работает]- для регистрации нужен другой ящик, но мусорный тоже подойдет. Веб-интерфейса нет, позиционируется как сервис строгой приватности. Сервера находятся в Египте, хотя создатели из Германии.

xmail.net - пробовал давно, раньше была ужасная веб-морда и проблемы с русской кодировкой. Как сейчас - не знаю.

lavabit.com - есть веб-интерфейс, сразу доступны smtp и pop3. Очень любим спамерами, из-за чего часто письма оттуда оказываются в спаме. Отсюда - частые (раз в полгода по месяцу) отключения регистраций для борьбы со спамом. У веб-морды проблемы с русской кодировкой

Надеюсь, информация оказалась полезной.
 
Последнее редактирование модератором:
moder

moder

Администратор
Команда форума
Зачем Тор? И в обычном Интернете SSL трафик не расшифровать. Тут главный вопрос - вопрос доверия к админам подобных сервисов, а не вопрос безопасности передачи данных.

Надеюсь, информация оказалась полезной
В данной теме речь идет о сервисах секретных заметок, а не о безопасной почте. Если нужна именно почта с повышенной приватностью, то рекомендую ознакомиться с ProtonMail.


oneshar.es - еще один популярных сервис секретных заметок.
 
Последнее редактирование:
moder

moder

Администратор
Команда форума
Как видно на скриншотах, текст сообщения и пароль пересылаются на сервер в открытом виде. А значит, эти сервисы обязаны и имеют техническую возможность предоставлять данные по запросу соответствующих государственных органов.
Хотите сказать, что привнот и Secserv.me шифруют данные на стороне клиента? Значит ключ шифрования подгружается при загрузке страницы и данные шифруются ява-скриптом таким образом, чтобы они были не понятны для перехватывающей стороны. Это хорошо, если сервис не очень раскручен, но если у силовиков стоит задача прослушивать именно privnote, думаю, они смогут разобраться.

Все вышеназванные сайты работают по https, но, видимо, расшифровать SSL-трафик возможно. Просто, если возможно, то они смогут перехватывать любые пароли, в Gmail, например.
 
V

Vlad_CZ

New Member
Хотите сказать, что привнот и Secserv.me шифруют данные на стороне клиента? Значит ключ шифрования подгружается при загрузке страницы и данные шифруются ява-скриптом таким образом, чтобы они были не понятны для перехватывающей стороны. Это хорошо, если сервис не очень раскручен, но если у силовиков стоит задача прослушивать именно privnote, думаю, они смогут разобраться.

Все вышеназванные сайты работают по https, но, видимо, расшифровать SSL-трафик возможно. Просто, если возможно, то они смогут перехватывать любые пароли, в Gmail, например.
Про гугл вы правы, но сексерв в отличии от привноута не знает какой пароль правильный - пример https://logdog.pw/?j9tdoH
Я поставил эту ссылку на 10 дней жизни и бесконечное прочтение. Попробуйте введите сверху в поле пароль qwerty12345 и увидите сообщение - но если вы ошибетесь в пароле вам все равно будет видно какое-то сообщение - ведь сервер не знает о наличии пароля на клиентской части + он не знает какой правильный. Поэтому атаковать данный сайт нужно очень сложным способом и отправлять каждому пользователю другой Javascript. Просто аналоги пишут что не могут прочитать вашу заметку но на самом деле в скриншотах я показал, что все идет в открытом виде на их сервера так же как и у гугла или вк

secserv.me сам по себе сервис для шифрование контента на клиенте и последующей загрузкой - SSL просто еще один слой шифрования и не более того - и вот если SSL убрать у гугла то действительно вся переписка будет на виду, но если убрать у secserv.me то это не даст никакого преимущства ведь контент шифруется на клиенте а если использовать чат https://secserv.me/#create_chat то тут совсем другие алгоритмы что то наподобие web-OTR и перехватить такое шифрование еще труднее
Мы следим за ними уже 3 год, пока все скрипты соответствуют заявленной безопаности.
 
Последнее редактирование:
moder

moder

Администратор
Команда форума
Все понял, спасибо за информацию.
Мы следим за ними уже 3 год, пока все скрипты соответствуют заявленной безопаности.
А вы кого представляете?
 
N

no nombre

New Member
safe-mail.net - 3 мб места, есть русскоязычный интерфейс, SMTP работает только на платном акке, для работы POP3 на бесплатном, нужно раз в месяц заходить в веб-почту.
в книге "Как я украл миллион" (http://www.ozon.ru/context/detail/id/24133571/) есть подтвержденные сведения, что safe-mail выдавал переписку по запросу США. так что не стоит им пользоваться.
 
Последнее редактирование модератором:
moder

moder

Администратор
Команда форума
Нам главное, чтобы по запросу российских властей не выдавал. Понятно, что сервис, зарегистрированный в Израиле будет сотрудничать с американскими властями, как и любой сервис, зарегистрированный в Европе или США, уж не знаю насчет Дурова, думаю, он тоже прогнулся, хоть и не признает, в любом случае я бы не стал доверять Телеграму большие секреты.
 
F

fxkonferenco

Member
инструкцию по созданию собственного сервиса секретных заметок мы выложим на форуме.
Благодарю за интересную статью! Однако же, можно ли получить ссылку на упомянутую инструкцию по созданию собственного сервиса секретных заметок, если, конечно, она была выложена на форуме? Спасибо.
 
sozef

sozef

Member
С такими сервисами, легко палить любопытных. Генерируем одноразовое сообщение, отправляем в телеграмм, и удевляемся кто же ходил по ссылке.
https://due.im/one/index.php
 
Сверху