В России заблокировали почтовый сервис Skiff

Олеся Афанасьева 26 Января 2023 - 18:52

...

В России заблокировали почтовый сервис Skiff

В реестре заблокированной информации появился новый почтовый сервис — Skiff Mail. Он позиционирует себя как конфиденциальный, со сквозным шифрованием. Поводом для блокировки могла стать рассылка через Skiff писем с ложными сообщениями о минировании.

Блокировку Skiff сам разработчик обнаружил сегодня. Почтовый сервис отправили в российский бан спустя всего 7 месяцев его существования. За это время платформа насчитывала уже более полумиллиона пользователей.

Согласно реестру Роскомсвободы (признана Минюстом иноагентом), блокировка осуществляется на основании решения “Неуказанного госоргана” за 19.01.2023.

Скорее всего, речь о Генеральной прокуратуре, считают правозащитники. Ведомство “неожиданно” исчезло из реестра в ноябре прошлого года, и сразу после этого появился “Неизвестный госорган”, блокирующий идентичный контент.

Поводом для блокировки Skiff Mail могла стать рассылка с помощью сервиса анонимных писем, в которых содержались сообщения о ложных «минированиях».

По крайней мере, руководствуясь теми же соображениями, Генпрокуратура ранее заблокировала Protonmail, Tutanota и Mailbox.

Разработчики Skiff Mail заявили, что уже думают над способами восстановить доступ к сервису на территории России. Пока же пользователи могут столкнуться с проблемами получения и отправки писем на Skiff Mail, а также с работой мобильных приложений. Скачать их без VPN уже не получится.

Skiff представляет собой не только децентрализованную электронную почту с открытым исходным кодом, но также децентрализованное облачное хранилище и командную рабочую среду, в которой можно упорядочивать различные типы карточек или таблиц, создавать проекты, вести календарь и писать заметки.

При создании аккаунта задается стандартный пароль, а на компьютер сохраняется сгенерированный ключ восстановления на случай, если доступ потерялся, а кодовое слово забылось.

Вместо стандартного способа входа в учётную запись для Skiff допускаются криптокошельки MetaMask, Coinbase, Phantom или Brave. Для определения личности применяется публичный уникальный адрес кошелька в сети Ethereum.

Открытый исходный код Skiff Mail доступен на GitHub.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: