Безопасность, анонимность и логи

Мы не имеем права пренебрегать безопасностью пользователей. Поэтому мы предприняли следующие шаги:


1. Был полностью отключен IP лог для всех пользователей и всех пользовательских действий. Это касается прошлых записей в базе, текущих и будущих. Пример, как это выглядит:

IP log example

В базе - тоже пусто, соответственно.


2. Отключены логи в TOR-версии нашего форума xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion, в т.ч. логи веб-сервера (пишем 127.0.0.1)


3. На форуме были внедрены шифрованные Личные сообщения (ЛС). Работают по принципу privnote. Пример переписки admin с пользователем test-47658. Для того, чтобы создать такую переписку, при создании переписки активируйте опцию "Переписка по ключу":

Encrypted messages setup

После создания переписки, отправитель и получатель получат уведомление с ключом, который каждый участник должен сохранить.

Key notification
  • Ключи пользователей для доступа к переписке хранятся на стороне сервера 7 дней, после чего удаляются из базы НАВСЕГДА.
  • Если, спустя 7 дней после создания переписки, вторая сторона не подтвердила получение ключа доступа, ключ будет удалён, а ЛС останется зашифрованным НАВСЕГДА.
  • Для шифрования текста ЛС используется openssl_encrypt в режиме aes256ctr + sha256 с солью.

Как выглядит такое письмо в базе?

Encrypted message in database

4. Удаление Личных сообщений

Личные сообщения (ЛС) удаляются. Но поскольку принцип хранения сообщения в базе предполагает взаимодействие с двумя участниками (1 письмо-2+ участника), для удаления ЛС необходимо, чтобы оба участника переписки нажали "Покинуть переписку". И вы, и потом ваш собеседник.

Leave conversation

Если вы хотите полностью удалить ЛС, сделайте то, что выше на скрине. И попросите вашего собеседника сделать то же самое. В таком случае ЛС будет полностью удален. Копии таблицы с ЛС дополнительно нигде не сохраняются, кроме общего бекапа.


5. Лог редактирования сообщений

При редактировании сообщения форум хранит лог (прошлую версию). Срок хранения - 7 дней.


6. Заявка на регистрацию

Форма "Заявка на регистрацию аккаунта" (отображается при подаче заявки на регистрацию нового аккаунта) очищается каждые 30 дней.


Внимание!

То, что у нас на форуме отключено логирование ip в базу, вовсе не значит, что вы - анонимный герой. Пользуйтесь tor'ом, vpn'ом, socks, дедиками. Не пренебрегайте собственной безопасностью.

Верх