L'uso di JavaScript rende ProtonMail insicuro?

5

Mi piace l'aspetto di ProtonMail . Tuttavia, ciò che mi ha impedito di iscriverti è che JavaScript sembra essere utilizzato in vari punti del sito e che qualcuno possa leggere la tua e-mail che deve fare clic su un link a quella che io ritengo sia una pagina JavaScript?

Per le persone come me che usano Tor Browser Bundle con NoScript: anche se il sito è utilizzabile, e gli utenti finali che vogliono vedere il contenuto del tuo messaggio mentre sono su Tor?

Sono preoccupato per qualcosa come cosa è successo a Freedon Hosting . Ma, anche senza un exploit, ho visto attacchi piuttosto semplici che utilizzano JavaScript per smascherare qualcuno.

Questa sembra una cosa piuttosto stupida, ma sono lontano da un esperto. Sto sbagliando qui, reagendo in modo eccessivo, o si tratta di un'effettiva vulnerabilità enorme che ad esempio l'FBI (o qualsiasi altra cosa abbia la Svizzera) potrebbe utilizzare per ottenere un indirizzo IP?

EDIT: ho trovato questo articolo che è la mia preoccupazione.

    
posta k1308517 12.04.2016 - 15:08
fonte

1 risposta

4

Nota: questa domanda avrebbe potuto essere migliore nella community Tor nonostante fosse in argomento qui.

Thomas Roth ha dimostrato che Protonmail era vulnerabile a un Attacco di cross-site scripting (XSS).

Il video (Vimeo) ha mostrato che almeno il corpo della mail era vulnerabile a Javascript iniezione. Non appena il destinatario legge la posta, il codice viene eseguito. Sfortunatamente, questo codice può essere dannoso e può, tra le altre cose, deanonymizzare l'utente. L'FBI ha dimostrato che era possibile quando hanno sequestrato il Freedom Hosting. (Anche se hanno sfruttato un 0-day in Firefox.)

L'utilizzo del browser Tor con Javascript abilitato è rischioso. Disabilitarlo ridurrà la superficie di attacco. Gli sviluppatori di Tor sono a conoscenza di questo problema e lo affrontano nel loro FAQ:

Why is NoScript configured to allow JavaScript by default in Tor Browser? Isn't that unsafe?

We configure NoScript to allow JavaScript by default in Tor Browser because many websites will not work with JavaScript disabled. Most users would give up on Tor entirely if a website they want to use requires JavaScript, because they would not know how to allow a website to use JavaScript (or that enabling JavaScript might make a website work).

Il browser Tor ti offre la possibilità di disabilitare JavaScript (con il plugin NoScript). Tuttavia, come potresti aver notato, Protonmail fa affidamento su JavaScript, e disabilitarlo ti impedirebbe di utilizzare il loro servizio:

Why do you need JavaScript, Session Storage, and Cookies?

ProtonMail does encryption and decryption of messages in your web browser.

This ensures that we do not have the ability to independently decrypt your messages and thus ensures the security and privacy of your data. In order to do encryption and decryption in your web browser, we need to use JavaScript for the encryption/decryption and SessionStorage for saving your private key(s) locally. ProtonMail also requires cookies to be enabled so that we can store your current session information and log you into your account.

(L'ultima enfasi è mia.)

Quindi devi fare una scelta. O decidi di fidarti di Protonmail per essere sicuro (anche se sono state trovate vulnerabilità); oppure te ne vai e trova un'altra soluzione.

    
risposta data 20.04.2016 - 16:15
fonte

Leggi altre domande sui tag