Skip to content

One Time Secret, Burn Note, Destructing Message, Privnote oder doch DDRBin - Benutzung und Funktionsweise von sicheren Wegwerfnachrichten

One Time Secret, Burn Note oder DestructingMessage haben eines gemeinsam, es sind Dienste die es erlauben Nachrichten, Passwörter oder andere Informationen auf verschlüsseltem Weg mit anderen zu teilen. Der große Unterschied zu klassischen Share-Diensten ist der, dass die Nachrichten sich nach dem Lesen automatisch selbst zerstören.

Das Vorgehen ist hierbei immer gleich. Auf einer Webseite wird ein Text eingegeben, aus dem ein Link generiert wird, welcher weitergeben werden kann und nach dem ersten Öffnen verfällt, bzw. zerstört wird.

one-time-secret

Für manche mag das nun nach Agententhriller oder James Bond klingen, für andere nach einer schlichten Möglichkeit private Nachrichten oder Passwörter auszutauschen. Bei einer richtigen Kommunikation sollte schon eher auf Cryptocat (siehe Artikel) zurückgegriffen werde, so jedenfalls meine Empfehlung.
Im Prinzip sind solche Dienste kein Hexenwerk, denn Hintergrund läuft im Prinzip immer der gleiche Prozess ab.

Wie funktionieren Wegwerfnachrichten

  • Der Dienst selbst wird auf einer Webseite über HTTPS bereitgestellt. 
  • Wie im Screenshot zu sehen, wird eine Nachricht hinterlassen und ein Link generiert.
  • Der Server generiert im Hintergrund eine Zufallsnummer als Kennzeichnung der Nachricht.
  • Diese Nummer wird gehasht (meist mit SHA-1).
  • Nun wird der Inhalt und die E-Mail Adresse (falls angegeben) mit einem bestimmten Algorithmus plus Salt verschlüsselt.
  • Alles wird nun temporär in einer Datenbank hinterlegt, wobei die Zufallsnummer wahrscheinlich als Primary Key dient.
  • Sobald nun die erstellte Nachricht abgerufen wird, kann an Hand der URL der Datenbankschlüssel erkannt und die vorhandenen Werte ausgelesen werden. Diese werden entschlüsselt und ausgegeben.
  • In der Datenbank werden die Einträge gelöscht und vermerkt das die Nachricht abgerufen wurde.

Die sicherere Art ist es die Nachrichten per JavaScript bereits auf dem Client zu verschlüsseln und dann erst an den Server zu übermitteln. Damit wird verhindert, dass der Anbieter eventuell Einblick in die Nachricht erhält.

Welche Anbieter von selbst zerstörenden Notizen gibt es

Hier eine kleine Auswahl an verfügbaren Diensten

  • One Time Secret
    • Versenden an Mails nur nach Anmeldung.
    • Nachrichten bleiben 2 Tage gültig, außer sie werden gelesen.
    • Suchmaschinen Crawler werden per robot.txt ausgeschlossen.
  • Privnote
    • Optionale Benachrichtigung, wenn die Nachricht gelesen wird.
    • Nachrichten bleiben 30 Tage gültig, außer sie werden gelesen.
  • Burn Note
    • Timer zur Selbstzerstörung vorhanden, Standard sind 3 Minuten.
    • Nachrichten bleiben 75 Stunden gültig, außer sie werden gelesen.
    • Nutzer kann Nachricht auch selbst zerstören.
    • Anzeige als normaler Text oder kopiersicher als temporäre Anzeige bzw. versteckt.
    • Zusätzlicher Passwortschutz möglich.
  • Destructing Message
    • Timer vorhanden (15,30,45 Sekunden oder 1,2,3 Minuten).
    • Optional per Mail versendbar.

Alternative ZeroBin - verschlüsseltes PasteBin

Als Alternative für solche Nachrichtendienste, können verschlüsselte PasteBin Varianten verwendet werden. Dabei handelt es sich um Webseiten auf denen Texte, primär Quelltexte, abgelegt werden können. Mit der OpenSource Software ZeroBin können diese nun auch verschlüsselt gespeichert werden. Der Clou daran ist, dass Daten direkt im Client per JavaScript und AES 256Bit verschlüsselt werden und so der Inhalt nicht vom Anbieter interpretiert werden kann (mehr Details). Da es sich dabei um Open Source handelt, kann jeder so einen Dienst selbst aufsetze, allerdings sind bereits Anbieter im Netz vorhanden. Das Prinzip ist das gleiche wie oben, es kann ein Timer vorgegeben werden, alternativ wird die Nachricht wird sofort beim Lesen gelöscht.


Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

No comments

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options