關於顯影
暗房在牆外。伺服器保管的是它看不懂的東西。
憑一組 16 字元提取碼,在任何有現代瀏覽器的電腦上取回檔案。檔案在寄件者的瀏覽器裡加密後才出門;伺服器只保管密文,從未見過提取碼與金鑰。過期即逝,掉碼即掉檔——沒有找回,沒有後門。
防得住
- 線上枚舉。攻擊者無法猜測儲存位置探測「哪裡有檔案」——位置本身是 80-bit 提取碼的衍生值,必須猜中完整提取碼,才能得到任何存在性資訊。
- 儲存端全面外洩。雲端被入侵、被調取、備份外流——攻擊者取得全部密文後,仍需對每一件做 280 離線暴力,不可行。
- 傳輸竊聽。TLS 之內還有一層內容加密。
- 陌生寫入與爆倉。上傳需通行碼;即使通行碼外洩,儲存保險絲也把損害鎖在配額餘量之內。
防不住(明說)
- 元資料。雲端服務商看得到:密文大小、上傳與下載時間、來源 IP。內容零知識 ≠ 元資料零知識。
- 取件電腦本身。若那台公用電腦裝了鍵盤側錄或惡意軟體,解密後的明文與你輸入的碼都在它手上。顯影保護的是「途中」與「倉庫」,不是終點裝置。列印場景可用「在瀏覽器開啟」把磁碟殘留降為零,但記憶體內的明文無從保護。
- 人。碼寫在便利貼上被看到、傳碼的通訊軟體被翻,都不在保護範圍。
- 可用性(接受的取捨)。能觀測到儲存位置的雲端層級攻擊者,可對閱後即焚件觸發銷毀——但該層級攻擊者本可直接刪除檔案,不構成新的攻擊面。
不承諾
匿名性。
邊界
寄件為私人入口,不對外開放。
取件頁不寫入任何持久儲存:無 cookie、無 localStorage、無 IndexedDB。在公用電腦上,除了你主動下載的檔案,不留一個位元組。