fischerleser
Anmeldungsdatum: 26. Juni 2017
Beiträge: Zähle...
Wohnort: Konstanz
|
Gruß an Alle ! Seit Jahren bearbeite ich meine E-Mails über den Browser und ich komme damit gut zurecht. Jetzt lese ich, dass das ein Sicherheitsrisiko bergen soll. Das verstehe ich nicht. Kann mir jemand das erklären ? Freundliche Grüße, fischerleser
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5348
|
fischerleser schrieb: Jetzt lese ich, dass das ein Sicherheitsrisiko bergen soll.
Quelle? Es gibt da viele Aspekte, die man be(tr)achten kann.
|
fischerleser
(Themenstarter)
Anmeldungsdatum: 26. Juni 2017
Beiträge: 72
Wohnort: Konstanz
|
Das habe ich auf den "ubuntuusers"-Seiten unter Sicherheits-Einmaleins (Abschnitt „E-Mail“) gefunden :
Obwohl es viele Leute gibt, die sich über ihren Webbrowser bei ihrem E-Mail-Anbieter anmelden und ihre Post in einem Browser-Fenster verwalten, sind spezialisierte E-Mail-Programme wie Thunderbird, KMail, Evolution oder Mutt doch weitaus praktischer, vor allem wenn man viel Post bekommt. Die Benutzung eines dieser Programme kann aber nicht nur aus Sicht der Benutzerfreundlichkeit, sondern auch vom Standpunkt der Sicherheit sinnvoll sein.
Bearbeitet von sebix: Bitte verwende in Zukunft Zitate, um die Übersicht im Forum zu verbessern!
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8536
|
Ein Grund ist z.B. die Möglichkeit, den Nutzer auf gefälschte Seiten zu "locken" und dort Benutzername und Passwort abzugreifen. Das ist bei "fest" eingespeicherten Adressen in einem Mailclient nicht so leicht.
|
axt
Anmeldungsdatum: 22. November 2006
Beiträge: 34254
|
In Tb sendest Du und läßt Dir pure ASCII anzeigen, nicht für eMail gedachtes HTML. Schon das allein katapultiert Dich in eine Sicherheitszone.
|
fischerleser
(Themenstarter)
Anmeldungsdatum: 26. Juni 2017
Beiträge: 72
Wohnort: Konstanz
|
Das ist zwar zutreffend, aber das ist ein generelles Risiko, das auch für Bankverbindungen usw. gilt. Ich bilde mir ein, dass es reduziert werden kann, indem man die entsprechenden Adressen im Browser abspeichert und sorgfältig auf die Adresszeile achtet. Bin gerade dabei, mir bei mail.de ein Konto anzulegen und prüfe derzeit das Angebot. Ich habe den Eindruck, dass sie Webmail nicht so entschieden ablehnen, im Gegenteil, sie bieten die Möglichkeit an, alle nicht benötigten Dienste abzuschalten wie IMAP, POP3 usw.. mit dem Argument, dass diese Einfallstore darstellen, die ein Risiko darstellen. Außerdem sollte man die wirklich wichtige Kommunikation nicht (!!!) über das Internet abwickeln; in dieser Hinsicht ist das Internet eine katastrophale Fehlentwicklung, die damit erklärt werden kann, dass die ursprünglichen Entwickler(CERN) Wissenschaftler waren, die ein allzu naives Menschenbild hatten.
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8536
|
fischerleser schrieb: Außerdem sollte man die wirklich wichtige Kommunikation nicht (!!!) über das Internet abwickeln; in dieser Hinsicht ist das Internet eine katastrophale Fehlentwicklung, die damit erklärt werden kann, dass die ursprünglichen Entwickler(CERN) Wissenschaftler waren, die ein allzu naives Menschenbild hatten.
😲 Ich glaube die Entwickler des Internets (Cern?) hatten nicht mit der späteren Entwicklung gerechnet. Das hat wenig mit ihrem Menschenbild zu tun. Davon abgesehen kann man das Internet auch (relativ) sicher benutzen, wenn man verschlüsselt und grundlegende Sicherheitsregeln einhält. Und das ist auch gut so, denn fast alle wichtige Kommunikation läuft heutzutage über das Internet. Was glaubst Du, welche Vorgänge werden heutzutage ohne Internetkommunikation ausgeführt (in Verwaltungen, Banken, Telekommunikation, Einzelhandel, Militär etc.)?
|
Erwin72
Anmeldungsdatum: 21. Januar 2008
Beiträge: 924
|
Interessante Frage, vom fischerlese, die ich so ähnlich auch schon mal stellen wollte. Ein Freund von mir meinte, sicherer wäre es, ONLine im E-Mail-Account zu lesen und zu schreiben. Weil dann alles auf dem Server geschieht, und man sich somit keine Viren einfangen kann, weil all das nicht auf dem eigenen Computer stattfindet. Ein Zweiter Freund von mir ruft seine Sachen per E-Mail-Programm ab, aus Sicherheitsgründen. Dieser wiederum erklärte mir, dass die Daten so oder so auf dem eigenen Rechner landen, sonst könnte man die E-Mails ja gar nicht lesen. Lediglich die Umgebung (Browser vs. E-Mail-Programm) sei eine andere. Aber so lange man sich in seinem Account aufhält, könne von außen die Verbindung angegriffen werden. Währen per E-Mail-Programm die Verbindung nur sehr kurz stattfindet, und somit kaum Zeit zum angreifen gibt. Welches von Beiden nun stimmt, wüsste ich selber gerne.
|
fischerleser
(Themenstarter)
Anmeldungsdatum: 26. Juni 2017
Beiträge: 72
Wohnort: Konstanz
|
Erwin72 schrieb:
Ein Freund von mir meinte, sicherer wäre es, ONLine im E-Mail-Account zu lesen und zu schreiben. Weil dann alles auf dem Server geschieht, und man sich somit keine Viren einfangen kann, weil all das nicht auf dem eigenen Computer stattfindet. Ein Zweiter Freund von mir ruft seine Sachen per E-Mail-Programm ab, aus Sicherheitsgründen. Dieser wiederum erklärte mir, dass die Daten so oder so auf dem eigenen Rechner landen, sonst könnte man die E-Mails ja gar nicht lesen. Lediglich die Umgebung (Browser vs. E-Mail-Programm) sei eine andere. Aber so lange man sich in seinem Account aufhält, könne von außen die Verbindung angegriffen werden. Währen per E-Mail-Programm die Verbindung nur sehr kurz stattfindet, und somit kaum Zeit zum angreifen gibt. Welches von Beiden nun stimmt, wüsste ich selber gerne.
Das genau ist der Kern meiner Frage. Ich selbst bleibe nur solange per Webmail drin, wie ich für die Bearbeitung benötige; dass dabei das Risiko eines Einbruchs größer sein soll, ist zwar eine plausible Vermutung, aber eben nur Spekulation. Und damit bin ich bei mail.de, die behaupten, daß durch Abschalten von IMAP, POP3 usw. das E-mail-Konto sicherer werden soll. Ich könnte noch weitere Bemerkungen machen, die etwas weiter gefasst sind, aber dann besteht die Gefahr, dass die Diskussion sich auf Nebenthemen verlagert und das möchte ich vermeiden.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5348
|
Erwin72 schrieb: Weil dann alles auf dem Server geschieht, und man sich somit keine Viren einfangen kann, weil all das nicht auf dem eigenen Computer stattfindet.
Dass nichts auf dem eigenen Computer stattfindet ist schlicht falsch, dafuer braucht man kein besonderes Wissen. Denn wie koenntest du sonst die Email auf deinem Computer ueberhaupt lesen? Die Email wird in deinem Browser dargestellt, anstatt in deinem Emailprogramm. Ersterer hat viel mehr Angriffsmoeglichkeiten wegen der erhoehten Komplexitaet. Dass der Angriffsvektor nicht ueber einen Anhang kommt, den du sowieso explizit herunterladen und oeffnen musst, ist eher unwahrscheinlich. Weiters hilft keine der beiden Varianten gegen Phishing, denn das zielt nur auf das Fehlverhalten des Nutzers ab. Aber so lange man sich in seinem Account aufhält, könne von außen die Verbindung angegriffen werden. Währen per E-Mail-Programm die Verbindung nur sehr kurz stattfindet, und somit kaum Zeit zum angreifen gibt.
Also wenn man befuerchtet, dass jemand in eure Netzwerkverbindung eingreift, sind wir bei einem sehr speziellen Thema. Und das hatten wir im Forum auch schon oefters. Welches von Beiden nun stimmt, wüsste ich selber gerne.
Es gibt kein richtig oder falsch. Und es haengt in jedem Fall vom Bedrohungsszenario und den Kenntnissen des Nutzers ab.
|
fischerleser
(Themenstarter)
Anmeldungsdatum: 26. Juni 2017
Beiträge: 72
Wohnort: Konstanz
|
sebix schrieb: Erwin72 schrieb:
Welches von Beiden nun stimmt, wüsste ich selber gerne.
Es gibt kein richtig oder falsch. Und es haengt in jedem Fall vom Bedrohungsszenario und den Kenntnissen des Nutzers ab.
Ich deute die Frage von Erwin72 gutwillig so, dass er meint, welches Verfahren größere objektive Risiken birgt; das individuelle Risiko des Kenntnisstandes des Nutzers ist in beiden Fällen vorhanden. Damit komme ich zu meiner Frage, was riskanter ist : Webmail bei mail.de mit abgeschaltetem IMAP usw. oder z.B. Thunderbird, wo POP3 oder IMAP
zwangsläufig ständig eingeschaltet sein müssen ?
|
Developer92
Anmeldungsdatum: 31. Dezember 2008
Beiträge: 4101
|
fischerleser schrieb: Damit komme ich zu meiner Frage, was riskanter ist : Webmail bei mail.de mit abgeschaltetem IMAP usw. oder z.B. Thunderbird, wo POP3 oder IMAP zwangsläufig ständig eingeschaltet sein müssen ?
Ich behaupte jetzt einfach mal, dass das relativ egal ist. Je mehr Schnittstellen nach außen hin offen sind, desto höher die Angriffsfläche. Sowohl bei IMAP/POP3/SMTP als auch Zugang via HTTP(S) ist eine Authentifizierung erforderlich. Ist diese sauber umgesetzt kann niemand einfach in den Account gelangen. Sowohl via Browser als auch via Mailclient ist eine verschlüsselte Verbindung zwingend erforderlich. Browser und Mailclients müssen die Zertifikate prüfen, um Man-in-the-middle Angriffe zu verhindern. Die Verbindungen an sich sind damit im Prinzip nicht mehr angreifbar, zumindest nicht unmittelbar. Zeigt ein Mailclient rein Text an (keine HTML-Mails!) dürfte der Mailclient kaum oder nur wenig Angriffsfläche bieten. Zeigt ein Mailclient HTML-Mails an, so lädt dieser per Default in der Regel keine Bilder o.ä. herunter. Reduziert also ebenfalls die Angriffsfläche (frag sich jetzt natürlich, wie das bei Zugriff auf Mails im Browser aussieht). Andrerseits beinhalten Mailclients, die HTML darstellen, eine komplette Renderengine. Und diese ist, wie die Vergangenheit bei Browsern zeigt, immer wieder angreifbar. Und ich kann bei einem Mailclient nicht eben mal uBlockOrigin oder ähnliches installieren.
Gibt mit Sicherheit noch mehr Punkte, aber das kam mir jetzt als erstes in den Sinn.
|
Erwin72
Anmeldungsdatum: 21. Januar 2008
Beiträge: 924
|
Meine Frage: 'Welches von Beiden nun stimmt, wüsste ich selber gerne.' ist etwas ungenau formuliert, fällt mir inzwischen auf. Stimmen tut vermutlich beides. Sondern was ich mich frage, wer von Beiden hat damit hinsichtlich das das eine Sicherer gegenüber dem anderen ist, recht? Unter Win hatte ich ein E-Mail-Programm, das hat sich geweigert, EXE in Mails auszuführen. Diese musste man erst in einen Extra Ordner kopieren. Eigentlich sollte es doch machbar sein, dass so wohl E-Mail-Accounts wie auch E-Mail-Programme nur jene Befehle zu lässt, die ihm erlaubt sind (Text darstellen, Farbe darstellen, etc., also eine Erlauben Liste) und alles andere ignoriert bzw. nicht ausführt. Oder liegt es an der Standardeinstellung? Oder ist es gar bereits so? Kann man das nicht auch im E-Mail-Account so einstellen, dass nur HTML-Text angezeigt wird, oder gar nur Text? Direkt eingefügte Bilder gibt es aber doch immer zum sehen, oder? Können denn auch direkt eingefügte Bilder Schaden anrichten? Anhang muss man doch meist eh extra aufmachen, bevor es was anrichten kann? Kann ein Anhang überhaupt so ohne weiteres Schaden anrichten (so fern es kein direkter Link ist)?
Inzwischen erscheint es mir jetzt sogar um vieles sicherer, als ich zuvor gedacht habe. Oder täusche ich mich da jetzt, und es kann (in der Grundeinstellung?) viel Schaden anrichten? Das Ärgerlich ist halt, so bald Jemand die E-Mail-Adresse raus hat, kann er einem alles Mögliche zuschicken. Man also selber alles Mögliche zugeschickt bekommen. Da erwartet man eigentlich schon statt einen Sandkasten, mindestens einen Betonkasten für die E-Mails.
|
fischerleser
(Themenstarter)
Anmeldungsdatum: 26. Juni 2017
Beiträge: 72
Wohnort: Konstanz
|
Developer92 schrieb: fischerleser schrieb: Damit komme ich zu meiner Frage, was riskanter ist : Webmail bei mail.de mit abgeschaltetem IMAP usw. oder z.B. Thunderbird, wo POP3 oder IMAP zwangsläufig ständig eingeschaltet sein müssen ?
Ich behaupte jetzt einfach mal, dass das relativ egal ist.
Danke Developper92 für Deine ausführliche Antwort ; da ich in Informatik ziemlich schwach auf der Brust bin, kann ich Deine Antwort nicht angemessen würdigen. Ich versuche es aber so gut ich es kann . "... dass das relativ egal ist" interpretiere ich so, dass die Risiken Webmail versus z.B. Thunderbird ungefähr gleich sind. Das aber steht im Widerspruch zu früheren Zitaten in diesem Dialog. Dass Schnittstellenreduktion Risikoreduktion erzeugt, kann ich mit mit der Methode des gesunden Menschenverstandes zwar nachvollziehen, negative Erfahrungen mit Computern mahnen aber mich zur Vorsicht. Wenn es trotzdem stimmt, wird das Angebot von mail.de mit der Möglichkeit des Abschaltens aller Dienste (POP3 usw.) plausibel. Ferner bietet mail.de die Möglichkeit der Zwei-Faktor-Authentifizierung mittels U2F-USB-Sticks an. Die geht aber nur über den Browser. Was ist Deine Meinung ?
|
Developer92
Anmeldungsdatum: 31. Dezember 2008
Beiträge: 4101
|
Erwin72 schrieb: Stimmen tut vermutlich beides.
Oder nichts davon, wie auch teilweise schon beantwortet wurde, denn: Erwin72 schrieb: Ein Freund von mir meinte, sicherer wäre es, ONLine im E-Mail-Account zu lesen und zu schreiben. Weil dann alles auf dem Server geschieht, und man sich somit keine Viren einfangen kann, weil all das nicht auf dem eigenen Computer stattfindet.
Daten werden so oder so lokal zwischengespeichert. Ob das der Browser oder der Mailclient macht dürfte relativ egal sein.
Aber so lange man sich in seinem Account aufhält, könne von außen die Verbindung angegriffen werden. Währen per E-Mail-Programm die Verbindung nur sehr kurz stattfindet, und somit kaum Zeit zum angreifen gibt.
Kurze Überlegung: Der Browser baut eine Verbindung zum Server auf, lädt die Daten herunter, Verbindung wird geschlossen. Der Mailclient macht das gleiche. Inwiefern ist da ein Unterschied? Beide können aber auch so konfiguriert werden, dass die Verbindung offen bleibt (Alle verwendeten Protokolle unterstützen das wenn ich mich nicht irre). Zumal die Verbindung, sofern sauber implementiert, nicht "angegriffen" werden kann, denn diese ist sowohl verschlüsselt als auch, durch ein entsprechendes Zertifikat, gegen Manipulation von außen (Man-in-the-middle) geschützt. Erwin72 schrieb: Sondern was ich mich frage, wer von Beiden hat damit hinsichtlich das das eine Sicherer gegenüber dem anderen ist, recht?
Es gibt so viele Faktoren, pauschal kann man das vermutlich nicht beantworten. Ein paar davon habe ich in meinem vorherigen Beitrag genannt. fischerleser schrieb: "... dass das relativ egal ist" interpretiere ich so, dass die Risiken Webmail versus z.B. Thunderbird ungefähr gleich sind. Das aber steht im Widerspruch zu früheren Zitaten in diesem Dialog.
Nunja, das habe ich einfach pauschal behauptet. Ob das stimmt ist fraglich, ich wollte nur eine Diskussionsgrundlage schaffen. Wir wissen, dass Browser Sicherheitslücken haben. Wir wissen aber auch, dass Mailclients Sicherheitslücken haben. Beide können HTML darstellen, beide interagieren mit einem Server. Sowohl Browser als auch Mailclients nutzen eine verschlüsselte Verbindung. Es gibt viele Gemeinsamkeiten, teilweise sogar gleiche Elemente (etwa die HTML Renderengine), aber eben auch ein paar Unterschiede. Deswegen von mir die Behauptung, dass es egal wäre. Denn ich sehe nicht, inwiefern eines der beiden Programme signifikant sicherer oder unsicherer sein sollte. Und auch wenn Mailclients standardmäßig sicherer sein sollten: In Browser wird aufgrund ihrers wesentlich breiteren Aufgabengebietes mehr Entwicklungsleistung gesteckt. Macht sie das sicherer? Fragen über Fragen…
Ferner bietet mail.de die Möglichkeit der Zwei-Faktor-Authentifizierung mittels U2F-USB-Sticks an. Die geht aber nur über den Browser.
Das erhöht zumindest die Sicherheit bei der Authentifizierung. Leider ändert dies nichts daran, was nach dem Login geschieht.
|