LINUX.ORG.RU

Защищённый почтовый сервис ProtonMail открыл код веб-интерфейса

 , , ,


7

3

ProtonMail — сервис веб-почты с шифрованием, созданный в 2013 году сотрудниками ЦЕРН (Европейская организация по ядерным исследованиям). Серверы и штаб-квартира находятся в Швейцарии (где действует одно из самых жёстких в Европе законодательств о персональных данных, которые не могут быть выданы правоохранительным органам без публичного решения суда).

ProtonMail использует два пароля для входа на сервис: один для идентификации пользователя, а второй для расшифровки им хранящихся на сервере данных. Вся процедура шифрования/дешифрования происходит непосредственно в браузере, и на сервере сохраняются только зашифрованные данные. Владельцы сервиса, по их утверждению, не могут расшифровать сообщения даже в судебном порядке.

В связи с выходом версии 2.0, разработчики решили открыть код веб-интерфейса. Это означает, что теперь абсолютно весь код, исполняющийся на стороне пользователя, свободен и доступен для изучения.

Код доступен на GitHub под лицензией MIT.

>>> Подробности

anonymous

Проверено: fallout4all ()

Ещё один проприетарный сервис, который клянётся, что не будет стучать кому надо. И опять очередь из людей «ну-уж-в-этот-то-раз-не-обманут».

anonymous ()

Только хотел сам новость написать, а она уже тут есть. Спасибо, анон!

И да — анонимная и не прослушиваемая большим братом почта нужна. Давно пользуюсь, всё устраивает. Чего и рабам мыла, гугля и яндекса желаю.

haku ★★★★★ ()

Кстати 20-го августа они выпускают бету для андроида и iOS.

haku ★★★★★ ()
Ответ на: комментарий от haku

И да — анонимная и не прослушиваемая большим братом почта нужна. Давно пользуюсь, всё устраивает. Чего и рабам мыла, гугля и яндекса желаю.

Смеялся. Лоровцы снова меряются зондами.

anonymous ()
Ответ на: комментарий от anonymous

Смеялся.

Смех без причины признак сам знаешь чего.

haku ★★★★★ ()
Ответ на: комментарий от Promusik

Суть ProtonMail в том, что содержимое твоего почтового ящика зашифровано. Письма на другой сервер приходят в открытом виде, естественно. Идеальный вариант - когда отправитель и получатель оба пользуются ProtonMail, тогда почта внутри сервиса идёт в зашифрованном виде и никто её не прочитает, не имея оба твоих пароля.

anonymous ()
Ответ на: комментарий от beastie

В случае, когда между страной, где находится сервер и страной, где находится пользователь, напряжённые отношения, становится довольно сложно получить одновременно доступ к данным и к пользователю. Жаль, конечно, что сервер не в Украине, но и Швейцария сойдёт.

anonymous ()
Ответ на: комментарий от beastie

Властям не обязательно может быть интересен именно ты. Они могут просто искать среди всей переписки всех пользователей определённые ключевые фразы. Если нашли, что запрещённое — искать автора и присылать пативен.

te111011010 ()
Ответ на: комментарий от te111011010

Это всё хорошо, но зачем копаться в сервисе, которым пользуются полтора гика и львиная доля корреспонденции которых с теми же gmail, yahoo, mail.ru и т.д.?

Такой вот black box, за которым так же можно следить по входным/выходным потокам.

beastie ★★★★★ ()
Ответ на: комментарий от anonymous

Не совсем понял. Письма дешифруются на стороне пользователя. Но как тогда они отправляются в открытом виде? Сервер же инициирует соединение с другим почтовым сервером, а не клиент. Выходит на каком-то этапе оно все равно будет идти в открытом виде.

spoilt ★★★ ()
Ответ на: комментарий от spoilt

Да, хороший вопрос. У них на сайте удалось обнаружить лишь

We support sending encrypted communication to non-ProtonMail users via symmetric encryption. When you send an encrypted message to a non-ProtonMail user, they receive a link which loads the encrypted message onto their browser, which they can decrypt using a passphrase that you have shared with them. You can also send unencrypted messages to Gmail, Yahoo, Outlook and others, just like regular email.

anonymous ()
Ответ на: комментарий от haku

И да — анонимная и не прослушиваемая большим братом почта нужна. Давно пользуюсь, всё устраивает. Чего и рабам мыла, гугля и яндекса желаю.

Такая давно уже есть. PGP называется. Только она без веб интерфейса. Хотя можно и его приделать (JS библиотеки, которые реализуют шифрование с открытыми ключами давно существуют), но приватные ключи хранить лучше не в вебе. Иначе возможен подбор пароля к приватным ключам (а далее ко всей почте пользователя).

PGP почти никто не пользуется, так что этой почтой тоже вряд ли кто-то станет...

prefetch ()
Ответ на: комментарий от anonymous

В случае, когда между страной, где находится сервер и страной, где находится пользователь, напряжённые отношения, становится довольно сложно получить одновременно доступ к данным и к пользователю.

Назови мне 3 хоть сколько-нибудь реальных причины, чтобы тобой заинтересовались и начали делать что-то сложнее, чем найти физически и «потрясти» (тут напряженность отношений между странами и закрытость твоей переписки вообще не при делах). Ну, кроме идиотского желания некоторых работодателей контролировать переписку своих сотрудников.

Думаю прослушивание переписки (да и вообще любое прослушивание) - это вотчина NSA, да и то, если данные бегают в открытом виде и только потому, что нужно отчитаться за потраченный бюджет.

prefetch ()
Ответ на: комментарий от beastie

Такой вот black box, за которым так же можно следить по входным/выходным потокам.

Большинство из перечисленных тобой почтовиков гоняют SMTP трафик через TLS, поэтому следить за внешними потоками тоже не так просто.

prefetch ()
Ответ на: комментарий от prefetch

но приватные ключи хранить лучше не в вебе

так да, вон в ProtonMail нет восстановления пароля, ибо хранится он только у тебя в голове, если забыл — прощай почта.

haku ★★★★★ ()

У них всё так же нужно ждать инвайт с засветом основного мыла?

oblepiha_pie ()

Это означает, что теперь абсолютно весь код, исполняющийся на стороне пользователя, свободен и доступен для изучения.

Маркетинг во все поля. Как будто раньше нельзя было сделать трейс js-кода. И ещё пусть говорят, что это нереально сделать ибо код писали боги.

Где исходники серверной части? Вот если бы такое развернуть у себя на серваке, да проверить как следует. А так... все как у Дурова, пиар да и только.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от prefetch

JS библиотеки, которые реализуют шифрование с открытыми ключами давно существуют

это например какие? Подыскиваю годное решение, очень интересует. Варианты во многом встречаются с завязкой на nodejs - не хотелось бы такую зависимость.

anonymous ()
Ответ на: комментарий от Jefail

А можно ссылочку на список рекомендаций fsf? В том, что я нагуглил fastmail нет :-(

zl0y ()
Ответ на: комментарий от Jefail

не знаю насколько он огорожен от АНБ

Австралийский же он. А Австралия известно под чьей короной ходит и с чьими гэбнями сотрудничает.

Я пользуюсь этой поштой, потому что не от корпорации зла и без лишнего новомодного шлака.

А если гэбни лично мной заинтересуются, то не особо важно, какая у меня будет почта.

user42 ★★ ()
Последнее исправление: user42 (всего исправлений: 2 )
Ответ на: комментарий от Jefail

что-то не видел там у них таких рекомендаций - можно пруф?

anonymous ()
Ответ на: комментарий от Jefail

Не смог там зарегистрироваться, пишут в отказ от регистрации. Оплаты биткоинами там тоже нет. Вот здесь можно кое-что выбрать.

http://www.prxbx.com/email/

anonymous ()

Там нет IMAP? Не нужно.

anonymous ()

Спец сервис для отлавливания неугодных гэбне. По логике вещей те кому есть что скрывать от закона, побегут именно на такие сервисы. А админ уже точно договорился с гэбней.

karton1 ★★★★★ ()

да-да, отличная новость, звучит примерно как «Google открыл исходный код страницы поиска»

shty ★★★★★ ()
Последнее исправление: shty (всего исправлений: 1 )

Прочитал «защищённый» как «запрещённый». И правда ведь, вряд-ли они станут хранить данные пользователей в Великой России, так что с сентября судя по всему этот сервис будет у нас недоступен.

anonymous ()

теперь абсолютно весь код, исполняющийся на стороне пользователя, свободен и доступен для изучения.

Что-то я не понял, а каким образом раньше код, который выполняется на компьютере пользователя, не был доступен пользователю?

alozovskoy ★★★★★ ()

Мнимая безопасность. Шифруйте почту GPG и будет счастье.

Legioner ★★★★★ ()
Ответ на: комментарий от user42

потому что не от корпорации зла и без лишнего новомодного шлака.

она умеет складывать цепочки как gmail (т.н. conversations)?

prizident ★★★★★ ()

а второй для расшифровки им хранящихся на сервере данных.

т.е. можно почитать всю переписку зная лишь 1 пароль? неуспех

n_play ()
Ответ на: комментарий от prizident

она умеет складывать цепочки как gmail (т.н. conversations)?

Не знаю, что это такое.

user42 ★★ ()

Очередное плацебо для как-бы-продвинутых пользователей.

anonymous ()

Неубедительно

Только GNU Privacy Guard

Sadist ()
Ответ на: комментарий от karton1

По логике вещей те кому есть что скрывать от закона, побегут именно на такие сервисы.

У тебя логически модуль перегорел. Замени.

anonymous ()
Ответ на: комментарий от prefetch

Большинство из перечисленных тобой почтовиков гоняют SMTP трафик через TLS, поэтому следить за внешними потоками тоже не так просто.

а ещё большинство почтовиков, гоняющих почту через TLS, доверяют любому сертификату

Harald ★★★★★ ()

Защищённый почтовый сервис PronMail

кто-нибудь ещё? :)

Harald ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.