Даже самые безопасные мессенджеры почти всегда запрашивают у пользователя минимальный набор данных. Но не Session. Он не требует номер телефона для регистрации, а все сообщения по умолчанию защищает сквозным шифрованием. «Бумага» подробно изучила все плюсы и минусы такой анонимности и рассказывает стоит ли переходить в этот мессенджер из привычных сервисов.
Кто сделал Session?
В 2018 году команда разработчиков из Австралии придумала блокчейн-мессенджер, который представила в 2020-м под названием Session. Для его разработки они взяли открытый код Signal, и начали переделывать под себя.
Session не отдельный проект, а часть экосистемы инструментов Oxen, которой занимается та же команда разработчиков. В нее кроме мессенджера входит, например onion‑маршрутизатор Lokinet. Это отдельная сеть, которая, как и Tor — браузер для доступа к даркнету — прячет IP‑адрес и направляет интернет-трафик через цепочку узлов.
Девиз Session — «отправляйте сообщения, а не метаданные». Так в компании подчеркивают децентрализованность и анонимность своего проекта. В эту же философию верит и сооснователь Etherium Виталик Бутерин. В конце 2025 года он пожертвовал 128 эфиров проекту Session — на тот момент это было почти 400 тысяч долларов.
Как выглядит регистрация без почты и телефона?
Session можно скачать в российских App Store и Google Play. При первом входе в приложение он предложит создать новый аккаунт — нужно просто ввести имя. Оно может быть реальным или псевдонимом, набором цифр или букв — под ним вас будут видеть собеседники.
Дальше Session предложит на выбор два режима уведомлений. «Быстрый» — уведомления будут приходить сразу после нового сообщения. Они работают так же, как и в любом другом приложении — через серверы Apple и Google. Но если вы не хотите передавать им данные, можно выбрать «медленный» режим. В этом случае приложение само будет периодически проверять, есть ли новые сообщения, и присылать уведомления с задержкой, когда их обнаружит. Это компромисс, зато серверы Google или Apple не узнают, переписывались ли вы с кем-то в мессенджере или нет.
После того, как вы создадите аккаунт, Session сгенерирует вам Account ID из случайных 66 символов. Его нужно отправить друзьям, чтобы они смогли вам написать. Еще одна опция — отсканировать QR-код, в котором зашифрован этот ID. Найти его можно в настройках Session.
После создания аккаунта в приложении сверху появится кнопка для сохранения «Пароля для восстановления». Это набор из нескольких слов — его важно записать или сохранить в менеджере паролей, чтобы не потерять. С его помощью можно войти в аккаунт на новом устройстве. Другого способа входа нет: в Session нет привычной авторизации по логину и паролю.
Всё это правда так безопасно?
Безопасность Session обеспечена не только за счет того, что к аккаунту не привязан номер телефона. Во-первых, все сообщения защищены сквозным шифрованием — то есть содержимое сообщений зашифровано на устройстве отправителя и расшифровывается только на устройстве получателя. Оно работает даже в групповых чатах. Кроме того, в 2021 году Session прошел независимый аудит: исследователи нашли и описали ряд уязвимостей, после чего команда их исправила. Более свежие обзоры индустриальных изданий также говорят о том, что это сильный мессенджер для анонимных переписок.
Во-вторых, сообщения хранятся в децентрализованной сети Session, чтобы вы могли безопасно получить к ним доступ с любого устройства. Сами сообщения в мессенджере идут не напрямую, а через несколько узлов — благодаря onion-маршрутизации. Идейно такая маршрутизация похожа на браузер Tor, но в данном случае она заточена под отправку сообщений. Упрощенная схема маршрутизации есть прямо в настройках Session. Если открыть вкладку Path, можно увидеть, что сообщение проходит несколько нодов — то есть узлов — прежде, чем доходит до получателя.
Важное замечание: такая схема работает только для отправки файлов и сообщений, но не работает, например, для аудио и видеозвонков. Звонки — это пока бета-функция и она реализована по-другому, через P2P. То есть и отправитель, и получатель при звонке видит IP-адрес собеседника, и эти адреса доступны серверам, обслуживающим звонок. Точно так же звонки работают и в привычных Zoom и Google Meet. Для журналистов и активистов, которым важна безопасность, это может стать проблемой, потому что IP-адрес можно связать с местоположением. Содержание звонков при этом защищено сквозным шифрованием, как и в Signal. А IP-адрес можно скрыть благодаря VPN-сервисам.
Но какие-то минусы у него же должны быть?
Главные преимущества Session — его простота, возможность завести аккаунт без номера телефона, onion-маршрутизация. Главные минусы — не очень быстрая скорость отправки сообщений и звонки без полной анонимизации соединения. Звонки можно не использовать — эта функция настраивается, как и многое другое в приложении. Например, работа с уведомлениями, возможность поставить пароль на само приложение, наличие или отсутствие индикаторов, которые говорят о том, прочитано сообщение или нет.
Еще один минус — в России трафик Session часто попадает под блокировки вместе с другими защищенными мессенджерами, поэтому без VPN или других обходов он обычно работает нестабильно. Впрочем, как и Signal. Такие продукты выбирают из-за их сильного шифрования и анонимности, а значит основные пользователи наверняка уже используют VPN. Правда, тех самых основных пользователей немного. В российском AppStore у него всего 461 оценка. Для сравнения, у телеграма — 400 тысяч оценок.
Отдельная проблема — это ссылки. Когда кто-то отправляет вам ссылку, мессенджер может подгрузить превью сайта. Для этого он делает к нему запрос через общий интернет, без onion-маршрутизации, а значит — у сайта появляется доступ к IP-адресу, а у интернет-провайдера — к факту и содержимому запроса. Это также обходится с помощью VPN-сервиса или через отключение функции превью ссылок в настройках Session.
Главные рекомендации для полностью безопасного использования Session — включайте VPN, передавайте свой ID аккаунта через защищенные каналы, а лучше — лично, и используйте менеджер паролей. Хотя ничто из этого не спасет, если ваш телефон окажется у полицейского или будет заражен трояном. Но на этот случай в мессенджере предусмотрена функция удаления всей информации. Если нажать на кнопку, вас выбросит из аккаунта, и потом для входа понадобится тот самый пароль для восстановления. При этом есть две опции — очистить данные только на устройстве (тогда при новом входе переписки восстановятся), или удалить их полностью, в том числе из сети.
Что еще почитать:
- Как обойти «белые списки»? Разбор «Бумаги».
