Häufig gestellte Fragen

Warum?

Stell dir vor, du möchtest ein Passwort über einen beliebigen Messenger senden. Selbst Jahre später könnte jemand einen Nachrichtenverlauf lesen und das Passwort herausfinden! Wenn du das Passwort stattdessen in eine SecretNote-Nachricht schreibst und den Link verschickst kann niemand das Passwort herausfinden!

Stell dir vor, du möchtest Privates an einen Freund schicken, aber er hat den Verdacht dass seine Eltern/Freundin/Chef gelegentlich seine Mails lesen. Wenn du deine Nachrichten mit SecretNote schreibst kann der Schnüffler den Link nicht nutzen, ohne preiszugeben dass er schnüffelt. Wenn dein Freund den Link benutzen will und der Link bereits ungültig gemacht wurde wisst ihr, dass jemand eure Nachrichten liest.

Weiß ich wann eine Nachricht gelesen wurde?

Nach dem Speichern einer Nachricht bekommst du einen Admin-Link. Mit diesem Link kannst du überprüfen wann deine Nachricht gelesen wurde. Optional kannst du eine Benachrichtigung über Telegram von unserem SecretNote Bot bekommen.

Wie sind Nachrichten geschützt?

Deine Nachrichten sind mit modernster Ende-zu-Ende-Verschlüsselung gesichert (AES-GCM-128 mit Authentifizierung). Die Kommunikation mit dem Server ist zusätzlich verschlüsselt (mit TLS). Die zur Verschlüsselung notwendigen Schlüssel werden niemals über das Netzwerk versendet.

Warum wird Javascript benötigt?

Ohne Scripting ist es nicht möglich deine Nachricht geheim zu halten, weil dann ein anderer Computer die Verschlüsselung berechnen müsste. Deine Nachricht sollte nur von Dir und dem Empfänger gelesen werden können. Aber deine Nachricht ist nur sicher so lange nur Du und der Empfänger den kryptographischen Schlüssel kennen. Hierzu brauchen wir Javascript: Ein Script das dein Browser ausführt ist die einzige Möglichkeit den Schlüssel nur in deinem Browser zu lassen - ohne Scripts müsste der Server die Verschlüsselung für Dich berechnen (und dafür den Schlüssel bekommen). Wenn aber der Server den Schlüssel bekommt, könnte der Server-Betreiber (in der Theorie) deine Nachricht entschlüsseln und lesen, und Du könntest das nicht einmal feststellen. Aber mit Javascript ist deine Nachricht sicher, selbst vor bösartigen Servern, weil dein Schlüssel niemals versendet wird.

Wie wird der kryptographische Schlüssel zum Empfänger übermittelt?

Der Schlüssel wird im Fragment-Teil deines geheimen Links codiert. Dieser Teil des Links bleibt lokal in deinem Browser und wird nicht übermittelt.

Kann ich überprüfen ob der Javascript-Code vertrauenswürdig ist?

Der Quellcode dieser Seite ist auf Github verfügbar (https://github.com/MarkusBauer/secretnote), jeder kann ihn lesen und überprüfen. Um sicherzustellen dass diese Seite unveränderten Javascript-Code nutzt kannst du die integrity-Hashes der drei Javascript-Dateien überprüfen. Du findest die Hashes dieser Seite wenn du dir den Quellcode dieser Seite anzeigen lässt. Die korrekten Hashes des öffentlich zugänglichen Quellcodes kannst du dir beim aktuellen Release anschauen. Diese Releases werden von Github Actions gebaut, sodass nicht einmal die Betreiber dieser Seite den Build-Prozess manipulieren können.

Gibt es alternative Anwendungen?

Wir stellen eine Kommandozeilen-Anwendung bereit, die Nachrichten speichern und abrufen kann. Sie kann von unserem Github-Repository heruntergeladen werden.