Як правило, використовуючи сервіси самознищуваних листів формується пряме посилання на “записку”, яку часто можна додатково забезпечити паролем – його повинні знати тільки відправник і адресат, що захищає інформацію від прочитання третіми особами.
Користуючись нижчепереліченими сервісами, необхідно пам’ятати, що їх розробники, як правило, не можуть довести, що одноразові повідомлення дійсно видаляються з сервера, що самі сервера не ведуть логи, а також те, що адміністрація не поділиться інформацією зі владою і/або спецслужбами при відповідному запиті. З цієї причини вкрай не рекомендується використовувати подібні сайти для передачі важливої особистої інформації або робити це на свій страх і ризик.
Secserv.me
Присутня функція групового чату, а також приємний розділ з відео-мануалами. Відсутній Google Analytics і Яндекс-Метрика на Secserv.me. З’єднання HTTPS з шифруванням AES-256 і RSA 2048 біт. Підтримуються будь-які типи файлів розміром до 7 МБ з можливістю шифрування даних. Якщо не вдалося розшифрувати ключ на сервері, то знову відкрити URL повідомлення не можна. Можливість додаткового захисту парольною фразою. Ключ складається з випадкових даних браузера + вашої парольної фрази + унікальних випадкових даних за допомогою алгоритму Fortuna PRNG. Після прочитання повідомлення посилання починає вести до рандомного зображення – це єдине, що можна побачити після “використання” посилання.
Але головна особливість Secserv.me полягає в тому, що шифрування повідомлення за допомогою алгоритму AES-256 виконується у браузері перед відправкою анонімного тексту на сервер. Перша частина URL являє собою унікальний ідентифікатор зашифрованого повідомлення, що відсилається на сервер, друга частина є ключем дешифрування (починається після символу #). Таким чином, ключ не передається на сервер, а значить сервер не може розшифрувати повідомлення і переглянути його вміст.
Crypt-A-Byte
Проект заснований на відкритому вихідному коді, є API. Crypt-A-Byte використовує шифрування на основі публічного ключа, а також технології HTTPS / SSL і OpenPGP / PGP. Для пар ключів використовується RSA, повідомлення і файли шифруються за допомогою AES-256 і SHA-256 для хешування. На сайті також присутній генератор паролів і відправка одноразових листів по e-mail. З репозиторію на GitHub можна зібрати додаток для Unix-подібних систем, для Windows і Mac доступна тестова зборка. Повідомлення і файли можуть бути дешифровані тільки введенням кодової фрази, заданої при створенні ключа. Ваші дані ніколи не зберігаються в відкритому доступі і неможливо розшифрувати без вашої кодової фрази (за запевненням розробника).
One Time Secret
Сервіс з відкритим вихідним кодом, також є API. Інформація надсилається та приймається через SSL. IP-адреса користувача, на жаль, реєструється. Пишеться інформація про браузер для подальшої оптимізації веб-сайту. При заході на сайт за реферальним посиланням, збираються дані про місцезнаходження цього посилання. Є функція парольної фрази – ніде не зберігається (записується тільки bcrypted хеш). Записки можна зберігати до 7 днів для анонімних користувачів і до 14 днів для безкоштовних акаунтів. Максимальний розмір текстового повідомлення становить 100 КБ для анонімних користувачів, 100 КБ для безкоштовних облікових записів і більше 100 КБ після оплати.
WebCrypt
Відкрите програмне забезпечення. Нічого не зберігається і не передається на сервер. Весь процес шифрування відбувається в браузері і не вимагає передачі будь-яких даних на сервер. Вихідний код WebCrypt опублікований під ліцензією GNU GPL і ґрунтується на криптографічній бібліотеці Стенфордського університету. Використовуйте сервіс з обережністю – за замовчуванням сайт працює через HTTP, а не через зашифроване з’єднання HTTPS.
Cloakmy
Дані шифруються, а паролі хешуються з використанням Bcrypt. Сервіс реєструє IP-адреси при відправці повідомлення. IP-адреси також реєструються під час спроб входу в систему (тільки після неправильного пароля і/або неправильного посилання). Для збереження сеансу користувача використовується 2 cookie-файли (перший для ідентифікатора сеансу, другий для шифрування сеансу), а також анонімні cookie-файли Google Analytics. Cookies повинні бути включені, щоб опублікувати або прочитати повідомлення, захищене паролем. Сесія користувача шифрується за допомогою випадково згенерованого ключа, який зберігається в ваших cookie-файлах, адміністратор сервера або будь-хто інший не може прочитати інформацію про ваш сеанс.
Сервіси самознищуваних листів: FireTalks
Для початку спілкування в чаті, потрібно заздалегідь повідомити співрозмовнику секретний ключ – будь-яка фраза або набір букв, цифр, символів на кирилиці або латиниці. Далі співрозмовник повинен ввести секретний ключ на головній сторінці FireTalks і увійти в розмову. Реєстрація та створення нікнейму не потрібні. Після того як всі учасники покинули бесіду, листування повністю видаляється зі сервера і більше немає ніякої можливості її прочитати (за словами розробника).
Quickforget
Можлива установка кількості дозволених переглядів для повідомлення. Не потрібна установка cookie. Не зберігається ніякої ідентифікованої інформації. Як тільки термін доступності повідомлення закінчується, воно видаляється з бази даних сервісу і не архівується (за словами розробника/адміна). Адміністрація сайту не гарантує безпеку переданої інформації.
DestructingMessage
Ніяких гарантій, зовсім. Можна встановити таймер, що відлічує зазначений час від моменту відкриття посилання, а потім знищує запис. Повідомлення потрібно прочитати до закінчення 90 днів, інакше вони будуть безповоротно загублені.
А ви використовуєте сервіси самознищуваних листів?
