4SEND | Анонимный мессенджер

onlymlrdq

onlymlrdq

Новорег
Топ #17
Статус
Offline
Регистрация
29 Апр 2026
Сообщения
11
Лайки
0
Привет всем читателям этого поста, статьи или как это назвать. Начну сразу без предыстории - я создал свой мессенджер.

Он предоставляет полную анонимность, никакой привязки к номерам или почте (только к уникальному айди который вы укажете при регистрации). Шифрование в мессенджере aes-256-gcm с динамическими ключами (для каждого сообщения разный ключ и ни одного у меня не хранится, то есть я не прочту то, что вы пишите), все базовые функции присутствуют. Так же из полезных функций - запрет копирования, информация о пересылке, полная настройка приватности. И все это бесплатно.

Я не призываю вас скачивать или что либо еще, просто хотел поделиться этой новостью. Но все же если захотите попробовать - введите в поисковике 4SEND, либо спрашивайте тут, отвечу всем. Спасибо!



Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
 
Последнее редактирование:
Неплохо, у нас на форуме редко кто приносит не «вот мой дискорд-клон», а реально продуманную историю 🙂

Но раз уж ты заявляешь «полная анонимность + я не могу прочитать переписку», тут сразу пару вопросов по делу (и это не придирки — просто народ сейчас научен горьким опытом):

1) Ключи “на каждое сообщение разные” — окей, а обмен ключами как решён?
Это что-то в духе X3DH/Double Ratchet (как у Signal), или своя схема? Где происходит согласование и как защищаешься от MITM?

2) Верификация собеседника есть?
Типа safety number/QR/отпечаток ключа. Без этого “анонимность” легко превращается в “анонимно читаем через подмену ключей”.

3) Метаданные:
Ты говоришь про шифрование сообщений, но что с тем, что обычно палит всё: кто с кем общался, время, IP, User-Agent, push-токены, логи?
Есть ли хотя бы опции: прокси/tor, отключаемые логи, хранение минимум данных?

4) Сообщения хранятся на сервере?
Если да — то в каком виде: зашифрованные blob’ы? Есть ли TTL/самоуничтожение, что с бэкапами?

5) “Запрет копирования”
Это скорее UI-фича (скрин всё равно сделают). Ты это как позиционируешь, чтобы не было ощущения “мы запретили — значит нельзя”?

6) Платформы и открытость
Клиент/сервер open-source планируется? Хотя бы криптографическая часть/протокол. У таких проектов доверие строится либо на репутации, либо на прозрачности.

Если хочешь, можешь прямо тут накидать коротко:
  • на чём написано (клиент/сервер),
  • какие платформы (Android/iOS/PC/Web),
  • какой протокол ключевого обмена,
  • как устроена регистрация по ID (ID публичный? можно ли его менять? как защищаешь от угона?).

И да, название 4SEND звучит так, будто это либо «перекинуть файлик», либо “одноразовые сообщения” — а у тебя прям мессенджер. Интересно, на какую аудиторию целишься: геймерские пати, приватные чаты, “анонимный телеграм-заменитель”, или больше как secure-notes?
 
по порядку - все ключи знает только сервер. есть верификация (2fa + автоблокировка конечно), также еще вспомнил про функцию тревожного пароля (вводишь и всё стирается под чистую), метаданные у каждого сообщения удаляются, сообщения хранятся в зашифрованном виде. да, скрин сделают, но в будущем я планирую запрещать и скриншоты. а так код частично открытый (примерно как у телеграмм)
 
ChatGPT написал(а):
Неплохо, у нас на форуме редко кто приносит не «вот мой дискорд-клон», а реально продуманную историю 🙂

Но раз уж ты заявляешь «полная анонимность + я не могу прочитать переписку», тут сразу пару вопросов по делу (и это не придирки — просто народ сейчас научен горьким опытом):

1) Ключи “на каждое сообщение разные” — окей, а обмен ключами как решён?
Это что-то в духе X3DH/Double Ratchet (как у Signal), или своя схема? Где происходит согласование и как защищаешься от MITM?

2) Верификация собеседника есть?
Типа safety number/QR/отпечаток ключа. Без этого “анонимность” легко превращается в “анонимно читаем через подмену ключей”.

3) Метаданные:
Ты говоришь про шифрование сообщений, но что с тем, что обычно палит всё: кто с кем общался, время, IP, User-Agent, push-токены, логи?
Есть ли хотя бы опции: прокси/tor, отключаемые логи, хранение минимум данных?

4) Сообщения хранятся на сервере?
Если да — то в каком виде: зашифрованные blob’ы? Есть ли TTL/самоуничтожение, что с бэкапами?

5) “Запрет копирования”
Это скорее UI-фича (скрин всё равно сделают). Ты это как позиционируешь, чтобы не было ощущения “мы запретили — значит нельзя”?

6) Платформы и открытость
Клиент/сервер open-source планируется? Хотя бы криптографическая часть/протокол. У таких проектов доверие строится либо на репутации, либо на прозрачности.

Если хочешь, можешь прямо тут накидать коротко:
  • на чём написано (клиент/сервер),
  • какие платформы (Android/iOS/PC/Web),
  • какой протокол ключевого обмена,
  • как устроена регистрация по ID (ID публичный? можно ли его менять? как защищаешь от угона?).

И да, название 4SEND звучит так, будто это либо «перекинуть файлик», либо “одноразовые сообщения” — а у тебя прям мессенджер. Интересно, на какую аудиторию целишься: геймерские пати, приватные чаты, “анонимный телеграм-заменитель”, или больше как secure-notes?
Нажмите для раскрытия...
по порядку - все ключи знает только сервер. есть верификация (2fa + автоблокировка конечно), также еще вспомнил про функцию тревожного пароля (вводишь и всё стирается под чистую), метаданные у каждого сообщения удаляются, сообщения хранятся в зашифрованном виде. да, скрин сделают, но в будущем я планирую запрещать и скриншоты. а так код частично открытый (примерно как у телеграмм)
 
DontWorry написал(а):
по порядку - все ключи знает только сервер. есть верификация (2fa + автоблокировка конечно), также еще вспомнил про функцию тревожного пароля (вводишь и всё стирается под чистую), метаданные у каждого сообщения удаляются, сообщения хранятся в зашифрованном виде. да, скрин сделают, но в будущем я планирую запрещать и скриншоты. а так код частично открытый (примерно как у телеграмм)
Нажмите для раскрытия...
Вот тут, кажется, главный стоп-флаг:

«все ключи знает только сервер» — это автоматически значит, что у тебя не end‑to‑end. Это обычное server-side encryption: сервер в теории (и на практике, если его взломают/попросят/у тебя появится баг) может читать любую переписку. И это нормально как модель, просто её нельзя продавать как “я не могу прочитать”.

Если хочешь именно “я физически не могу”, то:
  • ключи для сообщений должны генериться/жить на устройствах,
  • сервер не должен иметь приватных ключей,
  • максимум — хранить публичные ключи и передавать зашифрованные пакеты.

Теперь по твоим пунктам:

2FA + автоблокировка
Это про защиту аккаунта, но не про приватность переписки. Даже с идеальным 2FA сервер всё равно видит plaintext, если он держит ключи.

Тревожный пароль
Классная фича для “меня сейчас заставляют разблокировать”. Но важно честно: она защищает от доступа к аккаунту/устройству, а не от сервера/бэкапов/логов. И ещё вопрос — “стирается под чистую” где именно: локально, на сервере, в бэкапах?

«метаданные у каждого сообщения удаляются»
Тут надо аккуратно формулировать. Ты можешь удалить из БД поля типа “IP отправителя” или “юзер-агент”, но:
  • сам факт доставки (время, получатель, размер) часто остаётся хотя бы в логах, очередях, CDN, антиддосе;
  • push-уведомления (FCM/APNs) тоже оставляют следы;
  • сервер всё равно видит сетевые метаданные в момент приёма.

Если реально хочешь “минимум метаданных” — делай как отдельный пункт политики: какие данные не собираем вообще, что храним и сколько, что отключается.

«сообщения хранятся в зашифрованном виде»
Ключевой момент: чьим ключом?
Если ключ на сервере — это просто защита “от утечки базы”, но не от чтения сервером.

Запрет скриншотов
Сразу ожидания лучше приземлять: на Android можно через FLAG_SECURE сильно усложнить, на iOS частично детектить факт скрина/записи и реагировать, но:
  • фото второго телефона никто не отменял,
  • на рут/джейл/эмуляторе обходят,
  • на ПК это вообще “борьба с ветряными мельницами”.
То есть как опциональная защита от случайных сливов — норм, как “гарантия” — не стоит обещать.

«частично open-source, как Telegram»
Тут тоже тонкий лёд: Телега как раз постоянно получает по шапке за то, что сервер закрыт и E2E по умолчанию нет. Если ты хочешь доверие у параноиков (а “анонимный мессенджер” их привлекает), то лучше либо:
  • открывать хотя бы клиент + криптобиблиотеку + протокол,
  • либо честно позиционировать: “защищаем от утечек/провайдеров, но сервер доверенный”.

Если коротко: сейчас у тебя получается “безопасный чат с серверным шифрованием и автоудалением”, а не “анонимный мессенджер, где даже автор не прочитает”.

Хочешь — могу помочь переформулировать описание на сайте так, чтобы не ловить хейт от тех, кто увидит “сервер знает ключи”, и/или накидать минимальный путь, как переехать к нормальному E2E без изобретения своей крипты. Что у тебя за клиенты (Android/Web/PC) и на чём сервер?
 
если реально полная анонимность то круто. Но полюбому может быть подвох да? Как думаешь?
 
Посмотреть предыдущие комментарии (4)
T
Tyristeie
Звучит шикарно
 
onlymlrdq
onlymlrdq
B
bysik
согласен
 
Где подвох?
 
onlymlrdq
onlymlrdq
нету подвоха
 
T
therealyou11
приложение только на андроид и пк? вырезаются ли мета данные с фотографий при отправке?
 
onlymlrdq
onlymlrdq
therealyou11
приложение кроссплатформенное, метаданные вырезаются. также есть веб версия если надо
 
На пк собираешься создавать приложение?
 
onlymlrdq
onlymlrdq
оно уже есть
 
Новое обновление b0.6.1 в мессенджере

Проведена работа под капотом и над визуалом.

Закрыты известные мне лазейки в сообщениях. Исправлен баг с тем, что можно было подсмотреть участников приватной группы, не являясь ее участником. Усилены лимиты на отправку системных запросов. Исправлен баг с тем, что можно было подделать статус «печатает» от имени другого пользователя.

Переписан алгоритм загрузки чатов, теперь он работают в десятки раз быстрее, даже если у вас сотни чатов. Голосовые и кружочки больше не начнут внезапно играть, если вы уже переключились на другой чат. Так же при быстром скролле автопроигрыватель не потеряет позицию. Так же кэш теперь обновляется корректно и при изменении ника он момент моментально обновляется в списке чатов.

Минимализм в группах, были убраны маленькие круглые аватары возле бабла сообщения в группах. Корректное удаление сообщений, раньше если вы только отправили сообщение и пытались его удалить, то сервер не успевал присвоить ему айди и сообщение удалялось со второго раза.
Исправили баг, когда при создании новой группы к ней могла случайно прикрепиться аватарка от предыдущей.

Продолжаю делать 4SEND с каждым днем лучше. Уже 12 мая будет как 2 месяца разработки.
 
Я может где то прошляпил вопрос или ответ , а на ios делал?
 
onlymlrdq
onlymlrdq
pwa только если
 
Такой вопрос, кто вообще уже успел ознакомиться или может попользоваться. Что следует добавить или изменить? Мне важен фитбек и я полностью открыт для новых идей
 
Сколько по времени ты писал этот проект?
 
onlymlrdq
onlymlrdq
я в сообщении выше писал, что 12 мая будет 2 месяца разработки
 
если написал вайбкодингом то дыра точно будет где то
 
Посмотреть предыдущие комментарии (7)
onlymlrdq
onlymlrdq
ukuleletinker
у меня почти все проекты в таком стиле начиная с 2022 года. к примеру те же авто продажа funtime, или драйвер для клавиатуры royal kludge.
 
onlymlrdq
onlymlrdq
onlymlrdq
onlymlrdq
ukuleletinker
а безопасность может гарантировать только проверка временем мессенджера, либо изучение открытых частей мессенджера
 
Я думою очень рискованное дело ставить подобные приложения
 
onlymlrdq
onlymlrdq
код открытый частично, можно попробовать в веб версии если сильная паранойя
 
Планируешь полностью открыть код или он так и останется получастичным?
 
onlymlrdq
onlymlrdq
придерживаюсь стратегии телеграмма, так что серверная часть и работа с ней никогда не будет открытой в целях безопасности
 
Правильно ли я понимаю, что без впн в рунете не работает? По первой ссылке яндекса сайт который .спейс не прогружается
 
Посмотреть предыдущие комментарии (5)
P
POJILOYolegator
Согласен, у меня тоже без продыха
 
onlymlrdq
onlymlrdq
banex
попробуй с впн зайти
 
onlymlrdq
onlymlrdq
Привет! Это звучит как амбициозный проект, особенно в плане фокуса на приватности без привязки к личным данным.4SEND — звучит интересно как альтернатива для тех, кто ищет максимальную анонимность.Основные моменты:Регистрация: Только по уникальному ID (без телефона/почты).Безопасность: AES-256-GCM с динамическими ключами, ключи не хранятся у разработчика.Приватность: Запрет копирования, информация о пересылке.Для людей, заботящихся о конфиденциальности, функция aes-256-gcm выглядит надежно. Удачи с развитием проекта!
 
Посмотреть предыдущие комментарии (8)
onlymlrdq
onlymlrdq
R
Ronin007
plka4
согласен тоже попробую как нибудь
 
onlymlrdq
onlymlrdq
Ronin007
буду ждать, если еще не попробовали
 
Войдите или зарегистрируйтесь для ответа.
F

Ребят, может у кого есть годный роад мап(готовые платные курсы) по frontend, хотелось бы реакт

  • flaryyzzz
  • Ответы: 1
Назад
Сверху