Whisperbot analysis - Revisited

I got a response from Matt at Whisperbot regarding my post Whisperbot - No thanks, I'll use e-mail.
You can read the reply here, it's the third reply on the post

Regarding the previous post, I would like to clarify that I have no interest to attack the Whisperbot service, and I hope that their team will use my analysis to improve on the service.

Here is a deeper analysis of my points with references from the Whisperbot reply


1. Message transport in cleartext
Actually, there is an https secure version at https://www.whisperbot.com
  • Although there is a https site, the default service is on a cleartext http site. And most users will always use the default service without even bothering to look for the https variant. Whisperbot is offering confidentiality, so a default encrypted channel is a must.

2. Message is stored on Whisperbot servers with unspecified and not very reliable security measures
Yes, its in a database, of course. But, I rebut that its not secure - I'll happily share with you the database content and I'll let you see if you can decrypt it. Everything - from message to email address is encrypted - and we're not talking md5 here ;-)
  • First, MD5 is a hashing, not an encryption algorithm. And since it's nearly non-reversible for long messages (the rainbow tables will be enormous) you can't use it. The whisperbot service obviously uses reversible encryption, and I have no intention on disputing the strength of the encryption (although they won't publish the algorithm). What I am disputing is the fact that the whisperbot servers also hold the encryption/decryption keys, since the servers present the message in cleartext to the recipient. So, the first risk are disgruntled administrators who can leak or steal the key database. Also, as an attacker, I would direct my efforts at tapping/stealing the key database. Just publishing the key database without any actual stolen message will be annihilating to the whisperbot service, since it is based on trust of the users.

3. Security is based on obscurity
There is an option to use a passphrase - so, even if someone else gets the link, they can't read the message without the passphrase.
  • I stand corrected as long as Whisperbot MANDATES a passphrase on every message. As long as the service maintains the current solution, it's still just using security by obscurity.

4. Message retention cannot be controlled
Agreed with the need for a delete button of sorts - right now, we just trim the message after it's been read and stored for a period of time.
  • Instead of a delete button, i would suggest an automatic erase after the presentation of the message - this will reduce the database capacity requirement but will increase the I/O load on the database. Whisperbot will probably be going with the 'pruning' option first at times when the servers are at minimum load. While this option is good for the servers, it's not as secure as an auto-destruct method.

Talkback and comments are most welcome

Related posts
Whisperbot - No thanks, I'll use e-mail.

2 comments:

ngọc lê said...

dịch vụ vận chuyển xe máy bằng tàu hỏa trong nước thời gian nhanh chóng tiện lợi, nhận vận chuyển xe ô tô bắc nam các loại oto dưới 7 chỗ và vận chuyển hàng hóa giá rẻ.

so hoa said...

Là 1 tổ chức Uy Tín – Đáng Tin Cậy. mang giỏi trong lĩnh vực chi phí. Chúng tôi luôn đặt “Lời ích các bạn khi vay tiền lên hàng đầu”. Sau thông thoáng năm phát triễn nghiên cứu. nhận mặt được sự khó khăn và thủ tục rượm rà lúc vay tiền hiện nay. buộc phải chúng tôi đưa ra biện pháp mới phù hợp sở hữu khuynh hướng mới Vay tiền mặt – mang tiền nhanh trong ngày.

một. Thủ tục vay thuần tuý nhất bây giờ
Chỉ bắt buộc giấy tờ ko phải thẩm định rườm rà. Bằng lái xe hoặc Hộ khẩu đã vay được tiền.
2. thời kì giải ngân tiền mặt nhanh nhất hiện nay
Cam kết duyệt giấy tờ trong 15 – 30 phút. Giải ngân tiền mặt sau 30 phút – đến 2h nếu làm hồ sơ trước 21H Tối. Chúng tôi cam kết giải quyết trong ngày. không để tồn sang hôm sau.
3. Vay toền online miễn sao bạn với mạng internet
toàn bộ lúc hầu hết nơi. xem xét website. Chúng tôi sẽ mang chuyên viên tham vấn nhiều năm kinh nghiệm tương trợ bạn. Bạn không cần bắt buộc đi xa chờ đợi. Chỉ nhu cầu nhấc máy và gọi. Sẽ vay được tiền.
4. ko phải của cải bảo đảm, ko bắt buộc chứng minh thu nhập
Chỉ phải thủ tục mộc mạc như trên. Chúng tôi ko bắt buộc ai bảo lãnh khoản vay cho bạn. cần siêu lặng tâm ko khiến phiền người thân bạn.

vay tien nhanh, vay tiền nhanh, vay tiền online, vay tien online, vay tien, vay tiền, vay tien, vay tín chấp, vay tin chap, vay tiền nhanh nhất, vay tien nhanh online, vay tiền nhanh online, vay tiền online nhanh, vvay tien online nhanh,
vay tien nhanh nhat,

Designed by Posicionamiento Web