app.secserv.me, Onetime Secret чи Privnote: Хто заслуговує твоєї довіри?
Сьогодні надіслати повідомлення онлайн — це як розмовляти по телефону в таксі: говориш до друга, але водій все підслуховує 💁🏻♀️
Вибір приватних сервісів величезний, але які з них не зіллють твої секрети? Ми зробили “прожарку” трьох популярних сервісів для “таємного” листування — app.secserv.me, Onetime Secret і Privnote.
Спойлер: Один тримається на чесному слові, інший — на легендах, а от третій — на справжньому шифруванні. А от хто є хто — давайте розбиратися 😎
Onetime Secret
І так, що тут у нас:
1. Повідомлення самознищується після перегляду
2. Код відкритий, а отже можна глянути, що “під капотом” — це плюс.
Але згідно з аналізом 2021 року: повідомлення йдуть на сервер у відкритому вигляді, без end-to-end шифрування. Є SSL, втім це більше захист на рівні “двері закрив, але ключ залишив в замку” 🤷🏻♂️
Цікаві факти:
• Є API, можна інтегрувати, чи перевіряти код.
• Логується IP-адреса.
• Збирають дані про браузер.
• Записують, з якого посилання ти прийшов.
• Є парольна фраза — зберігають лише bcrypt-хеш.
І вишенька на тортику — якщо ввести секретний пароль і відкрити інструменти розробника (клавіша F12), то побачиш, що цей пароль відправляється на сервер. Це не просто дрібний баг, а та сама “дірка”, крізь яку можна пролізти без запрошення.
Press enter or click to view image in full size
Press enter or click to view image in full size
Додай сюди ще й обмеження по розміру файлів — і отримаєш інструмент, який радше підходить для зберігання листівок від бабусі, ніж для серйозних секретів.
Privnote
Що ми знаємо про цей сервіс? Відомий тим, що ним може скористатися навіть твій дід: написав, отримав лінк, відправив. Після першого відкриття, чи заданого часу повідомлення зникає.
| Просто як двері в під’їзді без домофона. Але не радимо зберігати там компромат, чи “пікантні” фото👇
Є чутки, що сервіс дружить із правоохоронцями та збирає дані. Дослідники вже знаходили проблеми, а тепер і звичайні користувачі бачать підозрілі попапи, редиректи та рекламу.
Так, Privnote має шифрування. Але приватна частина лінку — займає всього 9 символів. Теоретично, її можна підібрати брутфорсом. Це не дешево, але реально.
app.secserv.me
Фух, нарешті дійшли до очевидного лідера. В app.secserv.me приватність на першому місці: жодної реєстрації, метаданих, підтримка файлів до 200 МБ безкоштовно та до 2 ГБ платно. Ідеально для документів, фото та всього, що треба передати і знищити.
Інтерфейс сучасний, можна налаштувати час зберігання. Є інтеграція з Web3-гаманцями (MetaMask, WalletConnect, Wert) для продажі контенту у USDC чи карткою — і все це без зайвих зусиль.
🛡Плюшки безпеки:
• Без Google аналітики.
• HTTPS із повним шифруванням.
• Будь-які типи файлів.
• Можна поставити пароль.
• Ключ дешифрування ніколи не потрапляє на сервер.
• Одноразові посилання.
• На додачу до вбудованого Fortuna PRNG використовується додатковий PRNG для захисту від потенційних бекдорів зі сторони виробників девайсів.
Підбиваємо підсумки:
• Onetime Secret — без E2EE, секрети у відкритому вигляді, логи IP, обмеження по файлах. Гарний музейний експонат, втім до надійногоо робочого інструмента далеко.
• Privnote — зручний, але сумнівний у плані довіри та прозорості.
• app.secserv.me — сучасний, безпечний, підтримує будь-які файли та не збирає твої дані.
Що ж, вибір за тобою — спробуй app.secserv.me або продовжуй надсилати паролі у чаті Viber. Хто ми такі, щоб тебе зупиняти 😉
