Tolle Idee des Tages: Eine Browser-Erweiterung, damit auch Nutzer von Webmailern endlich PGP-signierte und -verschlüsselte E-Mail schreiben können. Ganz großartig! Unter den existierenden Anwendungen, denen ich niemals meinen private key anvertrauen würde, nimmt ein wegen seiner Komplexität sicherheitstechnisch fragiles und zudem ständig angegriffenes Ding wie ein Webbrowser die Spitzenposition ein.
Ach, was red ich! Wer mit einem Webmailer mailt, hat sie eh nicht mehr alle…
tux. am 20.11.2011 um 03:42
Man sollte auch bedenken, dass Thunderbird ebenfalls einen Browser beinhaltet. Ist von Enigmail also auch abzusehen?
Nachtwächter am 20.11.2011 um 04:03
Oh merde, guter Einwand!
Ich weiß einfach nicht, wie EnigMail unter anderen Betriebssystemen »tickt«. Hier unter Linux ruft der einfach gpg auf, und auch das ganze Keymanagement läuft über gpg. Aber natürlich könnte dabei auch ein gpg –export-secret-keys aufgerufen werden, wenn sich eine Lücke findet, die einen Angriff ermöglicht.
Die Angriffsmöglichkeiten gegen Thunderbird sind aber alles in allem kleiner. Das Browserchen (wer braucht das eigentlich, HTML-Mail ist doch durchgehend Schrott) darf zumindest bei mir fast nichts. (JavaScript und Plugins in E-Mail, ich glaube es hackt!) Die Angriffsmöglichkeiten sind etwas geringer. Aber grundsätzlich ist es keine so schlaue Idee gewesen, einen Mailclient mit der zusätzlichen Komplexität eines Browsers zu verhunzen, und vermutlich wartet irgendwo schon ein kecker Bug auf seine großen Tage…
Der Angriff auf einen Browser wird wohl trotzdem viel einfacher werden. Ein in JavaScript implementiertes GnuPG, das als Browsererweiterung läuft, ist einfach zu lecker, wenn es irgendwann häufig eingesetzt wird.
Wenn ich jetzt richtig paranoid werde, muss ich wohl doch zum »guten« alten Mutt zurück…
tux. am 20.11.2011 um 04:08
Unter Windows ruft es einen konfigurierbaren Befehl (böse Falle) auf – bei mir gpg2.exe. HTML-Mails aktiviere ich nur in Ausnahmefällen, meistens sehen die eh hingeschissen aus. Thunderbird nutzt den Browser aber auch für irgendwelchen internen Firlefanz, seit die alles (inklusive des Erweiterungsfensters) als »Seite« darstellen.
Ob Paranoia angebracht ist, weiß ich nicht: Ich meinerseits habe ein Hirn, das ich normalerweise einschalte, bevor ich am Mailprogramm herumbastle. Einsteiger könnten da größere Probleme bekommen.