WWW: BlankStamp — анонимный почтовый сервис

Musalini

Dublikat Friends
Подтвержденный
Регистрация
05.04.15
Сообщения
835
Реакции
1,181
Депозит
0
Покупок
1
Продаж
26
Всем известно, что для анонимной отправки электронного письма нужно завести фейковый адрес. Если дело не ограничится одним посланием, то этой дополнительной учеткой придется пользоваться на протяжении вcей переписки. Разработчики сервиса BlankStamp придумали способ, который избавляет от этой необходимости.

Чтобы отправить анонимное письмо через BlankStamp.io, достаточно зайти на сайт, вписать email адресата в форму в самом низу и нажать на кнопку Go. По ней откроется стандартный системный почтовик, где в поле адреса доставки будет написано что-нибудь вроде [email protected], где person и server.com — две части изначального адреса получателя.

Адресат же, открыв послание, увидит, что оно отправлено с адреса на blankstamp.io, но вместо имени пользоватeля будет длинный набор чисел. Самое интересное — что на такое письмо можно ответить и переписываться дальше совершенно обычным способом, просто вся переписка будет проходить через BlankStamp, а адреса будут подменяться.

Бесплатно разрешается переписываться не более чем с пятью адресатами в неделю. Если нужно больше, то предлагается приобрести «кредиты Incognito» и тратить их. 2500 сообщений в таком случае обойдутся в 5 долларов.

Создатели BlankStamp отлично понимают, что их сервис способен привлечь спамеров, так что предупреждают: если активность клиента им не понравится, то ему откажут в обслуживании. Адресаты тоже могут отказаться получать письма, отправленные через BlankStamp: сообщение о такой возможности автоматически дописывается в каждое отправленное письмо. И конечно, разработчики клятвенно заверяют, что не хранят письма у себя.
 

Whitey Bulger

Заблокирован
Проверенный покупатель
Регистрация
18.02.16
Сообщения
445
Реакции
414
Депозит
0
Покупок
39
Продаж
0
Обратите внимание, что пользователь заблокирован на форуме. Не рекомендуется проводить сделки. Если пользователь уже обманул вас каким-либо образом, обратитесь в наш арбитраж, дабы мы могли по возможности урегулировать возникшую у вас проблему.
Отличный сервис. Мусалини респект.
 
Профиль пользователя не подтвержден! Работа с ним может быть не безопасна!
Для подтверждения нужно быть зарегистрированным больше года или приобрести повышение прав.

337Diller

Dublikat Friends
Подтвержденный
Регистрация
22.03.16
Сообщения
2
Реакции
5
Депозит
0
Покупок
0
Продаж
0
Больше понравился проект protonmail.com, собственно на него и пересел.
Подробнее на Хабре: ProtonMail или что же это на самом деле?
Выдержка именно по безопасноти:
Безопасность

Про безопасность подобных решений на стороне пользователя, когда программный код выдается сервисом при каждом обращении, в интернете можно найти массу обсуждений и статей. Например, статья на английском http://matasano.com/articles/javascript-cryptography/ от Matasano security.

Краткое резюме всех дискуссий и доступных материалов заключается в том, что в любой момент сервис может отдать измененный программный код (например, по запросу правоохранительных органов), который отправит им почтовый пароль пользователя.

Команда ProtonMail подчеркивает, что они находятся в Швейцарии, где, как они пишут, законодательно их не могу обязать установить backdoor. Полный текст их объяснения доступен по адресу Why Switzerland? - ProtonMail Blog. Но это “в теории”, а “на практике” пока нет широко известных публичных прецедентов.

В любом случае возможность изменить программный код в любой момент со стороны сервиса является очень серьезным недостатком, так как эти изменения могут быть нацелены на конкретных пользователей. В случае, когда криптография реализована в программном продукте или вообще на уровне операционной системы, то подобные обновления, нацеленные на конкретных пользователей намного менее вероятны и намного тяжелее в реализации. Хотя, как известно, нет 100% безопасных решений, но надо стремиться к максимально возможному необходимому в данной ситуации уровню безопасности.

Исполняемый код Javascript на стороне браузера может быть подвержен XSS-атакам. В случае с ProtonMail, как и любой другой веб-почтой, можно отправить специально сформированное письмо в обход встроенной защиты от XSS-атак и исполнить вредоносный код, который получит доступ к почтовому паролю пользователя или просто будет перехватывать расшифрованное содержимое сообщений.

ProtonMail в защите от XSS-атак полагается на библиотеку js-xss. Но помимо фильтрации содержимого письма есть еще и служебные почтовые заголовки, которые можно аналогично сформировать специальным образом при отправлении писем со сторонних сервисов пользователю ProtonMail. А возможность получать письмо со сторонних сервисов есть у всех аккаунтов ProtonMail и запретить ее в настройках аккаунта нельзя.

В начале июня была найдена уязвимость у сервиса ProtonMail, позволяющая исполнить произвольный JavaScript код на компьютере ничего неподозревающего пользователя и получить полный доступ к его почтовому ящику.

Данную уязвимость нашел Mike Cardwell, о чем сообщил команде ProtonMail. После исправления уязвимости он опубликовал информацию об этом на ycombinator.com. ProtonMail разместил его имя в списке благодарностей на своем сайте — ProtonMail Security Contributors - ProtonMail Blog, что подтверждает данный факт.

Сейчас данная проблема в безопасности ProtonMail уже исправлена, но сколько еще таких возможностей для хакеров таит в себе реализация криптографии на стороне браузера на JavaScript?
 
Сверху Снизу