I servizi come ProtonMail sono sicuri quanto l'uso di Thunderbird e una chiave PGP?

Sì, ci sono delle differenze di sicurezza rispetto all'utilizzo di un client di posta. Quando usi ProtonMail, devi fidarti di loro su ogni delle tue visite che il loro sito web (e la tua connessione ad esso) non siano compromessi.

Tecnicamente, ProtonMail offre uno schema di sicurezza paragonabile a Thunderbird con un plugin per OpenPGP (vedi Enigmail ). Cioè, le tue e-mail sono criptate sul lato client (prima che lascino il tuo browser) e ProtonMail non può consegnare le tue credenziali o e-mail alle autorità su richiesta o perderle a un utente malintenzionato, poiché i tuoi dati non raggiungono mai i loro server testo normale (Vedi la loro pagina su dettagli sulla sicurezza .)

Ma , mentre ProtonMail non può accedere ai tuoi dati ora, potrebbero cambiare la logica lato client in qualsiasi momento senza che tu te ne accorga. Ciò potrebbe essere causato da un utente malintenzionato, un dipendente canaglia o forse da un ordine governativo. In pratica, una semplice modifica al Javascript spedito per la loro schermata di accesso sarebbe sufficiente per acquisire le credenziali durante l'accesso e reindirizzarle da qualche altra parte invece di tenerle nel browser come promesso. Allo stesso modo, potrebbero fornire JS dannoso che reindirizza le tue e-mail una volta decriptate e visualizzate. Un simile attacco sembra molto più pratico e più facile da nascondere rispetto all'attacco del tuo client TB spedendo codice dannoso in un aggiornamento canaglia.

Nota anche che devi fidarti del codice lato client che scarichi in entrambi i modi. Quando si utilizza Thunderbird, ciò significa affidarsi al codice del client TB e del plugin Enigmail (e ai loro aggiornamenti regolari). Quando si utilizza il servizio Web, ciò significa affidarsi al markup spedito e al JS che il browser scarica su ciascuna delle proprie visite.