Хочу дать немного пищи для ума. Многие пользуются сервисом Evernote (я – в том числе) и хранят в нём достаточно много информации. И она бывает достаточно конфиденциальной. Например, это могут быть пароли к каким-то сервисам, лицензионные ключи и много другого, что совсем не предназначено для посторонних глаз.

Разработчики Evernote не альтруисты, и они хотят заработать деньги. Поэтому предлагается бесплатная и платная версии. Подписка на Premium в год стоит $45.

Давайте внимательно посмотрим на то, чем различается бесплатная и платная версии сервиса (я цитирую русскую версию):

Вот что получают премиум-пользователи Evernote

  • Увеличенный до 500 МБ* в месяц объем загружаемых заметок
  • Возможность прикреплять, синхронизировать и получать доступ к любому файлу на всех платформах и устройствах
  • Поиск текста в изображениях внутри в PDF
  • Усиленную безопасность с применением протокола SSL при входе в систему и передаче данных
  • Приоритетное распознавание текста в изображениях
  • Приоритетное обслуживание и поддержка
  • Отсутствие рекламы
  • Другие эксклюзивные возможности — совсем скоро!

Да, объёмы важны. Да, приоритетное распознавание замечательно. Да, отсутствие рекламы радует. Но вот обратили ли вы внимание на 4-й пункт?

А теперь давайте в бесплатной версии создадим заметку и применим tshark и hexdump. Для демонстрации эта заметка озаглавлена “testtestsubject” и содержит поле “testtestbody”.

И что же мы видим? 

Hypertext Transfer Protocol
    POST /edam/note/s16 HTTP/1.1\r\n
        [Expert Info (Chat/Sequence): POST /edam/note/s16 HTTP/1.1\r\n]
            [Message: POST /edam/note/s16 HTTP/1.1\r\n]
            [Severity level: Chat]
            [Group: Sequence]
        Request Method: POST
        Request URI: /edam/note/s16
        Request Version: HTTP/1.1
    Host: www.evernote.com\r\n
    User-Agent: Evernote Mac/66805 (en-UA); MacOS/10.6.2;\r\n
    Accept: application/x-thrift\r\n
    Content-Type: application/x-thrift\r\n
    Accept-Language: en-us\r\n
    Accept-Encoding: gzip, deflate\r\n
    Content-Length: 111\r\n
        [Content length: 111]
    Connection: keep-alive\r\n
    \r\n
Media Type
    Media Type: application/x-thrift (111 bytes)

Application/x-thrift содержит такие данные: 

0001a900  28 50 18 ff ff 09 fb 00  00 00 00 00 0a 63 72 65  |(P...........cre|
0001a910  61 74 65 4e 6f 74 65 01  00 00 00 00 0b 00 01 00  |ateNote.........|
0001a920  00 00 52 53 3d 73 31 36  3a 55 3d 31 63 65 38 64  |..RS=s16:U=1ce8d|
0001a930  31 3a 45 3d 31 32 35 37  39 61 34 39 64 38 65 3a  |1:E=12579a49d8e:|
0001a940  43 3d 31 32 35 37 39 36  64 61 66 30 66 3a 50 3d  |C=125796daf0f:P=|
0001a950  33 66 3a 48 3d 66 30 34  65 66 36 62 34 34 63 65  |3f:H=f04ef6b44ce|
0001a960  33 61 32 39 32 34 35 35  31 63 61 38 37 61 66 34  |3a2924551ca87af4|
0001a970  38 63 30 61 66 0c 00 02  0b 00 02 00 00 00 0f 74  |8c0af..........t|
0001a980  65 73 74 74 65 73 74 73  75 62 6a 65 63 74 0b 00  |esttestsubject..|
0001a990  03 00 00 00 91 3c 3f 78  6d 6c 20 76 65 72 73 69  |.....<?xml versi|
0001a9a0  6f 6e 3d 22 31 2e 30 22  20 65 6e 63 6f 64 69 6e  |on="1.0" encodin|
0001a9b0  67 3d 22 55 54 46 2d 38  22 3f 3e 0a 3c 21 44 4f  |g="UTF-8"?>.<!DO|
0001a9c0  43 54 59 50 45 20 65 6e  2d 6e 6f 74 65 20 53 59  |CTYPE en-note SY|
0001a9d0  53 54 45 4d 20 22 68 74  74 70 3a 2f 2f 78 6d 6c  |STEM "http://xml|
0001a9e0  2e 65 76 65 72 6e 6f 74  65 2e 63 6f 6d 2f 70 75  |.evernote.com/pu|
0001a9f0  62 2f 65 6e 6d 6c 2e 64  74 64 22 3e 0a 3c 65 6e  |b/enml.dtd">.<en|
0001aa00  2d 6e 6f 74 65 3e 74 65  73 74 74 65 73 74 62 6f  |-note>testtestbo|
0001aa10  64 79 c2 a0 c2 a0 c2 a0  c2 a0 c2 a0 3c 2f 65 6e  |dy..........</en|
0001aa20  2d 6e 6f 74 65 3e 0b 00  04 00 00 00 10 5c fd 82  |-note>.......\..|

Заметили “testtestsubject” и “testtestbody”? Именно об этом и говорит пункт 4.

Не обращайте внимание на “Усиленную безопасность с применением протокола SSL при входе в систему” – аутентификация как в платной, что в бесплатной версии идёт по SSL, и пароль доступа в Evernote надёжно защищён.

Но вот содержимое заметок в бесплатной версии вполне просто получить злоумышленнику. Радует то, что при использовании клиента Evernote данные кешируются локально, и каждый раз не гоняются через сеть. Но вот новые и модифицируемые заметки, как вы видите, вполне доступны.

Подходите к безопасности осознанно. И если она для вас реально важна, то или покупайте premium-версию Evernote, или же не используйте этот сервис.

Но если вы критичные данные не храните, то Evernote очень хорош и я его с этой оговоркой очень рекомендую.