2022-02-10 15:27:26
Сервисы одноразовых записок.
Поговорим про разрыв целостности информации в переписке и сервисы одноразовых записок, которые помогают осуществить этот самый разрыв.
Есть старое правило шифровальщика: каким бы безопасным способ передачи информации ни был, всегда лучше, если она передается через несколько каналов связи, тем самым нарушая целостность и затрудняя работу тому, кто захочет перехватить сообщение.
Допустим, передо мной стоит задача передать связку логин-пароль моему товарищу или просто на другой свой аккаунт в социальной сети. Памятуя о правиле выше, я поступлю так: есть сайт privnote.com – один из самых старых и авторитетных сервисов одноразовых записок, удаляющихся после прочтения – и, чтобы разорвать целостность, логин я отправлю через секретный чат в Telegram, а пароль – через сервис.
Использовать его довольно просто: пишите сообщение, устанавливаете дополнительные настройки и нажимаете на кнопку создания. Пересылаете адресату, и после того, как он ее откроет, она уничтожится. Там хватает настроек, можно даже пароль на заметку задать, поэкспериментируйте.
Если мы разберем на составные части ссылку на записку, то поймем, что владельцы сервиса теоретически не могут расшифровать сообщение, так как он «хранится» в части
URL под названием «anchor». Это часть после знака «#», она никогда не отправляется на сервер через браузер, а сервер ее не принимает, вследствие чего ключ клиента не покидает устройства без его намерения. Погружаться в технические дебри не будем, кто захочет, почитает сам.
Что мы имеем в итоге, возвращаясь к задаче о передаче логина-пароля? А вот что: третье лицо между вами и вашим собеседником, если оно и присутствует, не сможет незаметно перехватить данные. Подумайте сами: если злоумышленник откроет ссылку, ее не сможет открыть ваш собеседник, а в противном случае он (злоумышленник) не получает пароля, вот такой получается цугцванг.
Как проверить, не читают ли ваши SMS
С помощью Privnote можно также определять, не перехватывают ли ваши SMS. Для начала создаем записку на сайте, обязательно выбрав опцию «Не спрашивать подтверждение перед тем, как показать и уничтожить записку». Далее необходимо указать e-mail, на который будет прислано уведомление о том, что записку прочитали и она уничтожилась. После этого идем сокращать нашу ссылку в любом сокращателе ссылок, например, в Bitly.
Затем мы отправляем эту ссылку в сообщении по SMS, мессенджере или в социальной сети. Желательно оформить сообщение так, чтобы вызвать интерес у потенциальной третьей стороны. Например, если вы думаете, что за вами следят конкуренты по бизнесу, можете указать, что по ссылке размещен пакет с очень важными документами. В общем, все опционально. Разумеется, получатель должен быть оповещен по какому-либо другому каналу связи, что это сообщение – приманка, и он не должен по ней переходить.
Теперь разберем, что мы сделали.
Есть три варианта развития событий:
1. Если вы, подождав немного, откроете ссылку и увидите, что записка уничтожена, у вас появится повод считать, что канал связи, по которому вы ее передали, скомпрометирован, а между отправителем (вами) и адресатом есть третья сторона;
2. Если вы увидите, что записка не уничтожена, у вас появится больше оснований считать, что канал связи безопасен;
3.Но в то же время все еще нельзя полностью отметать тот случай, когда злоумышленник не открыл записку, потому что знал, что это приманка. Но в таком случае мы все равно затрудняем жизнь недругу, потому что он не знает наверняка, приманка это или действительно важное сообщение.
Вот как-то так. Советую испытать данный способ на практике и проверить, не читает ли ваши сообщения кто-либо.
Вообще, ситуаций, когда можно и нужно применять сервисы одноразовых записок, много. Например, можно заставлять сотрудников отправлять ссылки на важные документы друг другу не напрямую, а через сервис одноразовых записок. Как конкретно применять этот метод, решать вам, поэтому советую подумать об этом.
@Probivashkin
799 views12:27
