Aussehen
Einloggen
[c] [meta] [fefe]

/fefe/ – Fefes Kommentarfunktion

Antwort erstellen

(≤ 4)



[Zurück]
  • [l] Ich hab ja neulich erst hier rumgemeckert, dass "E2EE" ... Effe ## Mod Sun, 06 Apr 2025 21:24:30 GMT Nr. 153114
    fefe23.png
    PNG 570×671 370.6k
    Ich hab ja neulich erst hier rumgemeckert, dass "E2EE" heutzutage gar nichts mehr heißt, weil die ganzen Marketingkokser das solange umgedeutet haben, bis jeder Sinn verloren ging.

    Heute kommt ein weiteres krasses Beispiel dafür an mir vorbei: Google Mail bietet jetzt auch "Ende-zu-Ende-verschlüsselt" an [0].

    Wie implementieren sie das? Sie mailen einen Link raus, und da muss der Empfänger draufklicken, und da kriegt er dann ein "Mini-Gmail", mit dem er diese Mail lesen kann.

    Das ist ein geradezu atemberaubendes Ausmaß an Marketing-Kokserei. Leider kein Einzelfall. Ich krieg gelegentlich "verschlüsselte Mails" von Protonmail. Das ist dann ein Link, der mich dazu nötigt, mir bei Protonmail einen Account anzulegen, und mit dem kann ich dann die Mail lesen.

    Leute, eine verschlüsselte Mail zeichnet sich dadurch aus, dass ich sie entschlüssele. Nicht dass ich zu einem Webdienst gehe, der sie entschlüsselt.

    Nun kommt verwirrenderweise dazu, dass man theoretisch so einen Dienst so bauen kann, dass die Entschlüsselung in Javascript in meinem Browser vonstatten geht. Das ist leider optisch und für normale Menschen nicht von einem Webdienst zu unterscheiden ist, bei dem die Entschlüsselung auf Serverseite passiert.

    Dazu kommt, dass das Javascript ja jedes Mal vom Server geladen wird. Selbst wenn man das also mal prüft, dass die Entschlüsselung in Javascript im Browser stattfindet, dann muss das beim nächsten Aufruf der Seite nicht immer noch so sein.

    Kurz gesagt: Ist alles eine schlechte Idee. Lasst euch nicht verarschen. Nehmt nicht an solchen Diensten Teil. Die verschicken entweder PGP-MIME-Mails oder sie sind nicht vertrauenswürdig.

    [0] https://michal.sapka.pl/2025/gmail-e2e-is-as-terrible-as-expected/

    https://blog.fefe.de/?ts=990c31d5
  • [l] Felix Mon, 07 Apr 2025 01:34:38 GMT Nr. 153118
    >>153116
    Die besten der Besten.
  • [l] Felix Mon, 07 Apr 2025 06:55:16 GMT Nr. 153122
    Hier in der Schweiz gibt es auch so was, nennt sich Inca Mail, wird von den Behörden genutzt, um höchst geheime Daten zu verschicken, so Dinge wie Terminverschiebungen. Zum Lesen muss man einen Link klicken, dann kann man einen Code bestellen, der an die gleiche Mailadresse geschickt wird, mit dem sich "einloggen" und die Mail lesen. Will man aber auf die Mail antworten, muss man sich bei Incamail einen Account klicken und über deren Webinterface versenden. Ganz grosses Kino. Dabei können doch Outlook und co. bestimmt alle vernünftige Verschlüsselung!
  • [l] Felix Mon, 07 Apr 2025 07:17:20 GMT Nr. 153123
    >>153114
    >und da kriegt er dann ein "Mini-Gmail", mit dem er diese Mail lesen kann.
    >>153116
    >gif
    Felix ist wohl zu dumm. Mit was für nem Account muss man sich denn anmelden, wenn man auf den Link geklickt hat, um die verschlüsselte Mail zu lesen?
  • [l] Felix Mon, 07 Apr 2025 07:45:39 GMT Nr. 153124 SÄGE
    > für normale Menschen
    Für kernbehinderte Mongos also.
  • [l] Felix Mon, 07 Apr 2025 08:41:28 GMT Nr. 153125
    Bei Proton ist es sogar PGP in JavaScript, und sie machen damit den OpenPGP-Standard kaputt. Es gibt jetzt ein Schisma zwischen OpenPGP und LibrePGP.
  • [l] Felix Mon, 07 Apr 2025 11:17:36 GMT Nr. 153148
    >>153116
    Wirkt für Felix wie ein Phishing-Angriff, aber wird sicher seine Richtigkeit haben.

    Um den Vorfelixen beizupflichten, dieser Felix erlebte dies in den letzten mindestens zehn Jahren auch bereits mehrfach. Eine Kanzlei als Kunde hatte sowas, was fürs Ticketsystem maximal krebsig war. Sonst fällt Felix direkt ein gewisses Steuerberatersoftwarehaus aus Meddlfranken ein, welches ebenfalls so ein System betreibt.
  • [l] Felix Mon, 07 Apr 2025 12:19:16 GMT Nr. 153171
    >>153125
    >und sie machen damit den OpenPGP-Standard kaputt. Es gibt jetzt ein Schisma zwischen OpenPGP und LibrePGP.
    Gut zu wissen, Felix hat sich zufällig letztens aus Gründen den OpenPGP-RFC durchgelesen. Was genau ist denn vorgefallen?
  • [l] Wähnäh!1!! Felix Mon, 07 Apr 2025 14:06:20 GMT Nr. 153176
    >>153171
    https://lwn.net/Articles/953797/
  • [l] Felix ☎️ Mon, 07 Apr 2025 16:34:47 GMT Nr. 153189
    >>153176
    Für Felix klingt das so, als ob die Kryptosimulanten von Protonmail den Standard gekapert haben und Frickel-Werner ausnahmsweise im Recht ist.
  • [l] Felix Mon, 07 Apr 2025 16:51:42 GMT Nr. 153191
    >>153123
    Im GIF steht an einer Stelle:
    >Make sure you trust the sender and their identity provider before entering your username and password
    Ohoh, das böse Wort, das mit "t" anfängt.

    >From: sadams@acme.com
    >Onelogin
    >auth.acme.com/signin/sso
    Sieht so aus, als ob der Authorisierungs-Servierer sich in der Firma vom Absender befindet. Man muss also bei denen ein Konto haben (oder dort via OAuth-Geraffel sich irgendwie delegiert authorisieren, wofür man ebenfalls bei der Firma vom Absender freigeschaltet sein muss).
  • [l] Felix Thu, 10 Apr 2025 04:24:26 GMT Nr. 153371
    rd5qxgc[…].jpeg
    JPG 490×767 31.8k
    >>153189
    >Kryptosimulanten von Protonmail
    An dieser Stelle die Warnung, dass (ganz von der technischen Umsetzung abgesehen) alles, was von der Proton AG angefasst wird, zu Scheiße wird.

    Erst einmal Felixens übliche Warnung vor Protonmail: Man kriegt ein Postfach, in welchem die Mails verschlüsselt liegen. Man kriegt die Mails aber nicht ohne Bezahlplan dort mehr raus (IMAP-Bridge). Das heißt: Man registriert sich fürs kostenlose Konto, benutzt das ein paar Monate/Jahre, und dann will man wechseln, und die Leute nehmen die eigenen E-Mails in "Geiselhaft".

    Schöne E-Mail-Sammlung haben Sie da! Wäre doch ein Jammer, wenn Sie die E-Mails für immer bei uns lassen müssten! Nur für ein kleines Salär wären wir bereit, Ihnen das zu ermöglichen...

    Aber die Scheiße von der Proton AG geht noch weiter. Es gab mal SimpleLogin, einen E-Mail-Forwarder ähnlich wie Spamgourmet, mit dem man anderen Leuten einen E-Mail-Alias geben konnte (wegen Spam etc.). Der Laden wurde dann von der Proton AG im Oktober 2022 gekauft. Und im Januar 2024 haben die dann das Erstellen von Reverse-Aliasen abgedreht.

    Hintergrund: Das Erstellen von Reverse-Aliasen braucht man, wenn man selbst einer anderen Person initial eine neue E-Mail schreiben will, wenn man zuvor noch nicht mit dieser anderen Person kommuniziert hat. Die Erstellung vom Reverse-Alias ist auf einer Unter-Seite verbuddelt.

    Auf allen anderen Seiten, auf der Funktionalität nur für Bezahlplan-Nutzer zu finden ist, gibt es einen fetten Warn-Banner "Nur für Bezahlplan-Nutzer!". Auf der Seite zum Reverse-Alias-Erstellen nicht. Übrigens auch nicht, wenn die Trial-Zeit für den Bezahlplan abgelaufen ist. Der Button ist dann einfach weg. Resultat: Man benutzt SimpleLogin für ein paar Monate, will jemand Fremden eine E-Mail schicken, geht nicht mehr.

    Schöne Alias-Sammlung haben Sie da! Wäre doch ein Jammer, wenn Sie niemand neuem eine E-Mail mehr schicken könnten! Nur für ein kleines Salär wären wir bereit, Ihnen das zu ermöglichen...

    Mittlerweile glaubt Felix, die "Geschäftstaktik" der Proton AG ist es, auf fehlende Features (an die zunächst ein Nutzer nicht denkt, weil normalerweise immer vorhanden) nicht hinzuweisen. Und zwar ausgerechnet solche Features, die nach ein paar Monaten/Jahren dann sehr relevant werden. Und dann mit dem Bezahlplan zu wedeln.

    Außerdem wird vermutet, dass bei SimpleLogin die Mails (automatisiert) überwacht werden, weil Bild relatierte Meldungen verschickt werden. [0] Das gilt sogar bei eigener Domain.
    >The reason why you received a warning email is because multiple [website] accounts were linked to your SimpleLogin account. Since the exact number of aliases being used for [website] in this case is higher than what is considered standard usage, our systems were alerted of the discrepancy. [1]
    LMAO
    Schöne E-Mail-Aliase haben Sie da! Wäre doch ein Jammer, wenn sie sich einmal privat und einmal mit einem Geschäftskonto bei $Firma registrieren wollen!

    [0] https://old.reddit.com/r/Simplelogin/comments/1hlpbq2/warning_from_sl/
    [1] https://old.reddit.com/r/Simplelogin/comments/1im25e2/simplelogin_users_can_be_banned_by_anyone/
[Zurück]
[c] [meta] [fefe]
Proudly made without PHP, Java, Perl, MySQL, Postgres, MongoDB and Node.js.
Quellcode