level 8
TinyBos
楼主
这个邮箱用了一段时间了,越发觉得这个邮箱挺鸡肋的,几点疑问:
1、他们说他们只保存帐号密码,不保存邮箱密码,那第二道密码验证是怎么做到的?按照他们的意思,那个密码不发送到服务器,是在本地验证的,那我本地的数据是什么时候存进去的?注册的时候?登录的时候?如果是注册的时候,那我换了电脑了密码为什么还能用?如果是登录的时候,那么数据就是从服务器获取的,也就是服务器还是保存了我的密码。
2、protonmail内部通信的邮件会自动加密,而每次加密肯定是用我自己的密钥吧,那对方是怎么知道我的密钥的?只有一个解释,内部邮件是使用公钥加密的。那么他们一开始宣传的,尽管政府得到他们的服务器也无法得到数据就无法实现了。
3、他们宣称,他们也无法得到用户数据,所有数据都在本地完成加密。但是他们没有客户端,没有浏览器插件,他们的数据加密是如何做到的?Js吗?我已经把他们网页上的Js代码看了一遍了,没有任何和加密相关的代码,也没有加密过的Js代码。关键是,浏览器是可以禁用Js的,如果用Js加密就太可笑了。
============
结论就是,数据是明文发送到服务器,在服务器端加密的,两道密码都以某种形式被保存在服务器,不指定密钥的情况下,所有内部邮件通过公共密钥加密。只要政府查获服务器,所有数据都会大白于天下。
至于使用protonmail和其他邮箱通信就更没有安全性可言了,譬如我之前发的帖子里截图所示,密钥和查阅地址都是以明文发送出去,所以需要截获所谓的加密信息,根本不需要大费周章,只要截获那些不够安全的邮箱即可。
以我浅显的知识体系和理解能力,我对这个邮箱的理解就是,安全根本就是谎言!他们的出发点也许很好,但是他们毕竟不是搞计算机网络,而是搞和物理研究的,他们异想天开计算机领域有火星技术,但是真正着手来做这件事的时候却发现不是那么回事,于是使用了一个折衷的解决方案,也就是根本做不到他们曾经承诺的安全。加上他们经验不足,不知道要如何合理利用众筹而来的55万美刀,而且用人不善,导致效率低下,资金捉襟见肘。
在我看来,这个邮箱前途不明朗呀。
2015年03月07日 12点03分
1
1、他们说他们只保存帐号密码,不保存邮箱密码,那第二道密码验证是怎么做到的?按照他们的意思,那个密码不发送到服务器,是在本地验证的,那我本地的数据是什么时候存进去的?注册的时候?登录的时候?如果是注册的时候,那我换了电脑了密码为什么还能用?如果是登录的时候,那么数据就是从服务器获取的,也就是服务器还是保存了我的密码。
2、protonmail内部通信的邮件会自动加密,而每次加密肯定是用我自己的密钥吧,那对方是怎么知道我的密钥的?只有一个解释,内部邮件是使用公钥加密的。那么他们一开始宣传的,尽管政府得到他们的服务器也无法得到数据就无法实现了。
3、他们宣称,他们也无法得到用户数据,所有数据都在本地完成加密。但是他们没有客户端,没有浏览器插件,他们的数据加密是如何做到的?Js吗?我已经把他们网页上的Js代码看了一遍了,没有任何和加密相关的代码,也没有加密过的Js代码。关键是,浏览器是可以禁用Js的,如果用Js加密就太可笑了。
============
结论就是,数据是明文发送到服务器,在服务器端加密的,两道密码都以某种形式被保存在服务器,不指定密钥的情况下,所有内部邮件通过公共密钥加密。只要政府查获服务器,所有数据都会大白于天下。
至于使用protonmail和其他邮箱通信就更没有安全性可言了,譬如我之前发的帖子里截图所示,密钥和查阅地址都是以明文发送出去,所以需要截获所谓的加密信息,根本不需要大费周章,只要截获那些不够安全的邮箱即可。
以我浅显的知识体系和理解能力,我对这个邮箱的理解就是,安全根本就是谎言!他们的出发点也许很好,但是他们毕竟不是搞计算机网络,而是搞和物理研究的,他们异想天开计算机领域有火星技术,但是真正着手来做这件事的时候却发现不是那么回事,于是使用了一个折衷的解决方案,也就是根本做不到他们曾经承诺的安全。加上他们经验不足,不知道要如何合理利用众筹而来的55万美刀,而且用人不善,导致效率低下,资金捉襟见肘。
在我看来,这个邮箱前途不明朗呀。
