Názory k článku
ProtonMail spustil službu Contacts, bezpečné úložiště kontaktů
-
1. Jedná se o bezpečného šifrovaného správce kontaktů, k jehož obsahu nemá přístup ani sám provozovatel.
2. Bez znalosti privátního klíče (odvozeného z hesla)
Jsem sám, kdo v tom vidí potenciální díru? Co brání provozovateli, resp. tomu, kdo soudně techniku provozovateli zabaví, systém upravit tak, aby si klíč odvodil, ve chvíli přihlášení uživatele z jeho hesla, které bude zároveň "novému majiteli" zasláno taktéž?
-
Ano ten předpoklad je mi jasný, ale když to provozovatel, potažmo někdo jiný to chování změní (ať už legálně či nelegálně), asi těžko bude postižený kontrolovat před každým přihlášením kód stránek, že se jeho heslo použilo pouze pro lokální vygenerování hesla a nic jiného.
Pokud nemám privátní klíč u sebe a pod svou kontrolou, tak je to IMO zneužitelná díra. -
Karel (neregistrovaný)
Je zřejmé, že pokud mi místo aplikace A někdo podstrčí aplikaci B a já do ní zadám heslo, tak mám problém. Díra to je bez ohledu na to, zda máte klíč pod svou kontrolou nebo ne. Jakmile nemáte pod kontrolou přímo tu aplikaci, tak budete vždy tahat za kratší konec.
Pokud chcete něco bezpečnějšího, tak se hodí třebas HW token, ve kterém se aplikace aktualizovat nedá - jen pak máte jistotu, že tam nikdo nezmění chování. Ale pořád tam je nejistota, zda tam není něco špatně už od začátku.
-
Cronin (neregistrovaný)
Obávam sa, že ProtonMail privátne kľúče generuje u seba. Myslím, že o tom bol nejaký blogpost "ProtonMail something something scam". Ak som správne pochopil, celý ProtonMail je o tom, že síce neveríte korporácim ako Google, ale veríte ProtonMail-u. Ak sa mýlim, budem rád, ak ma niekto nasmeruje na zdroj, kde je opísané, ako to funguje.
-
vicemene je to tak jak pises. V privacy si obecne musis vybrat komu veris. Proton mail se snazi tvarit ze je v poradku, nejakyt kod ma i na githubu, mozna by slo napsat nejaka extension, ktera by validovala, ze ten javascrtipt co u me bezi je treba tenhle tag na githubu a ze ja mu verim. To by mohlo byt celkem hezke.
-
Nic, ale neni dobre se tvarit, ze jde o totez.
U protonmailu proste verite protonmailu.
Klic mate u nich, protoze jinak by to neslo pouzivat s obvyklym komfortem.
Jestli se s tim smirite ci nikoliv je samozrejme na vas.
Vprincipu ale skutecne spravce protonmailu muze cist vas privatni klic, ktery je na pocatku odvozen z hesla.
Pokus si to pamatuji dobre.P.S. alternativou je samozrejme pouzivani lokalniho klienta. Tam ale nemate jak realizovat nektere funkce, co dnes uzivatele ocekavaji. Tak to tusim bylo vysletleno v tom blogpostu od tvurcu protonmailu, kdyz se kolem tohoto tematu strhla debata.
