Privacy - Wat niemand over je mag weten

Tutanota - gratis encrypted webmail dienst

05-03-2015, 14:42 door Anoniem, 16 reacties
Hebben jullie ook ervaring met deze dienst en wat vinden jullie, als experts, hiervan?

https://tutanota.de

We - Matthias, Hanna, Bernd and Arne - have come together to protect our privacy online. We have started out three years ago to design an easy-to-use encrypted webmail service that allows us to communicate with anybody confidentially. We are proud that our open source webmail client has an end-to-end encryption built in that is dead easy to use. We want to thank everybody involved for their feedback and for their continuous support. Without you - that is our family and friends, our users and advocates - we would not have been able to realize our current level of simplicity and security.
Reacties (16)
05-03-2015, 17:04 door Anoniem
neem dan een mail.be domein
www.mail.be

heb ik ook, icm met een eigen domeinnaam. ik maak aliasses aan, die ik lat re-directen naar mijn mail.be adres
krijg ik spam op dat alias?, simpel, gewoon verwijderen.
05-03-2015, 18:26 door Anoniem
Laat ik beginnen door te zeggen dat ik geen expert ben, maar een hobbyist. :)

Het feit dat ik met NoScript aan een volledig witte pagina krijg, en Ghostery een Piwik Analytics script detecteert, is voor mij persoonlijk voldoende om ze te negeren. Maar nogmaals, dat is persoonlijk.

Buiten dat een paar interessante punten:
- Het is gratis, wie betaalt de rekeningen? En waarvan?
- Ze geven aan dat door 3rd partieS penetratie testen gedaan zijn. Echter noemen ze maar een enkel bedrijf.
- Het SSL certificaat dat ze gebruiken, is voor zover ik kan zien een gratis variant.
- Het zit vol met Facebook en Twitter scripts.

Anonimiteit staat mijn inziens niet zo hoog in het vaandel bij Tutanota.
Encryptie is niet echt mijn kennis gebied, dus daar kan ik me niet over uitlaten.
Maar persoonlijk leg ik liever een paar euro neer voor een bedrijf met een duidelijk business model, zonder externe analytics en/of scripts.

Natuurlijk zijn er mensen die serieus de wereld een better place willen maken.
Ik heb ook een game community die mij alleen maar geld kost i.p.v. oplevert. Maar dat is hobby. Kan goed bij deze gasten ook zo zijn. Maar als ik echt zekerheid wil, die natuurlijk nooit te garanderen is, maar zou ik niet voor dit bedrijf gaan.
06-03-2015, 12:40 door Anoniem
klinkt als een advertentie poging op security.nl
06-03-2015, 12:53 door Anoniem
Ik bekijk het altijd heel simpel, als het gratis is, ben jij niet de klant maar het product waarmee geld verdiend wordt.
06-03-2015, 14:39 door ab2604
Kijk eens naar https://posteo.de

Duits, anoniem en niet gratis! Echter, slechts € 1,00 per maand per mail adres. Ik gebruik het zelf nu al 2 jaar, tot volle tevredenheid. In Ghostery en Adblock plus zie ik geen trackers vermeld.
06-03-2015, 16:15 door Anoniem
kwam deze tuta ook al eens tegen maar heb ook wat twijfels over wie en wat.
het was ook nog al opmerkelijk dat ze een user agent check gebruiken en je dan andere bekende browsers
aanbieden als je er komt met iets goeds als een qupzilla ofzo.
duitsland is trouwens niet echt bekend om privacy dacht ik zo? ehe
06-03-2015, 17:55 door Anoniem
Door Anoniem:

duitsland is trouwens niet echt bekend om privacy dacht ik zo? ehe

Bij mensen die niet erg opletten niet nee.
Veel landen en mensen kunnen een voorbeeld nemen aan hoe duitsers zich wel druk maken over privacy (iets met google enzo).

Wakker worden, ehe?
07-03-2015, 17:07 door Anoniem
Meestal wel, maar ook weer niet in alle gevallen.
Tutanota verdient haar geld uit de betaalde inkomsten van de mensen die kiezen
voor een betaald account. Verder is het ook uit de Snowden relavations gekomen
en kan niemand aan je account komen.

Twitter en Facebook scripts? Ja iedereen weet van Facebook en Twitter, en dan willen
ze een maildienst zonder die twee? Dan ben je in mijn ogen sowieso al niet iemand
die privacy hoog in het vaandel heeft staan. Trouwens met Noscript of andere Ad-ons
kun je die twee ook blokken. Of gebruik de Tor Browser voor Tutanota.
Snap het probleem niet zo, en ja ik weet van trackers en een en ander, maar voor bijna
alles is er ook een oplossing toch. De Tor browser bundle is inmiddels snel genoeg
voor te surfen en weet ik veel wat mensen allemaal over Tor doen. Of neem een VPN
abbo ergens. Of gebruik Tor over de VPN, dan ben je niet meer te traceren als je het heel
slim aanpakt. Geen hele groepen mensen mailen, en begruik nooit je echte naam, en
nooit zeggen op het einde groetejs Bert enz.

Vertrouw je Tutanota nog steeds niet, neem dan nog een extra klein encryptie en decryptie
programma, of encrypt een tekst ergens online.

Zoveel mogelijkheden te over dus.

En goede review vind ik persoonlijk onderstaande, waar je ook hoop uit kunt halen

http://www.hacker10.com/computer-security/free-encrypted-webmail-service-tutanota/

Mailen naar Tutanota mensen is al “End to end encrypted”. En emailen met mesen die geen
Tutanota acocunt hebben, dan kan men kiezen voor of met een wachtwoord, of zonder wachtwoord.
Dus drie prima opties.

En achter drie weekjes kun je zelfs je eigen folders aanmaken.

Niet genoeg aan 1 Gig, maak dan gewoon nog wat boxen aan, ook dat staat iedereen vrij.

Maar voor mij is het belangrijk dat niemand aan de mails kan komen, en dat het “End tot end
encrypted” is mocht ikdat nodig vinden. Em ja in Duistalnd staat privacy hoog in het vaandel
dus wat wil men nog meer.

Betaalde account van 1 euro of meer per maand? Zegt dat ook dat niemand je mail leest?
Kijk eens naar de consumenten programma's. Niet alles wat je betaald is te vertrouwen, dus
waarom zou een bedrijf die je een x bedrag per maand of jaar betaald jouw de waarheid vertellen
ook al betaal je ervoor? Maar daar kom je toch niet snel achter.


Dan de posting van anoniem van 16:15.
Tutanota check de user-agent, so what? Er zijn zoveel dingen waar je niet eens bij stil staat dat ze
je misschien toch kunnen achterhalen. Zoals geen VPN hebben, of geen Tor gebruiken, of Java en
Flash hebben draaien, of een zeroday-expoit waar je geen weet van hebt.
Als je echt een alu hoedje hebt gebruik dan ook maar Tor, dan hoeft je je nergens zorgen over te maken.

Sinds de Snowden lekken zouden er een paar van deze densten komen zoals:

https://darkmail.info/ Nog steeds niet online!
https://protonmail.ch Kom ik niet tussen voor een gratis account

Zeker van Protonmail had ik verwacht gewoon een gratis account aan te kunnen maken
want die NSA dat was me toch wat, en iedereen moest ja ongehinderd encrypted kunnen mailen.
Nu gaan de centen dus voor alles. En van Darkmail had ik ook verwacht dat ze geen jaar nodig hebben voor een maildienst op te zetten.

En dan klagen er nog mensen over Tutanota?
Trouwens je kunt boven in de client van Tutanota een vraag stellen op het forum waar je een ticket
krijgt, en hoe makkelijk wil je het hebben?

Super dienst naar mijn mening dan.
07-03-2015, 21:44 door Anoniem
Ander idee nog misschien.

Ik weet niet wat je wilt, met wie je wilt communiceren maar ik draai hier thuis een eigen mailserver. Voor communicatie met mij bekende mensen die bij thuis ook een email adres hebben een prima oplossing. Alle verkeer getunneld via TLS. Communicatie via "rare"porten op basis van het ip adres en daarmee prima afgeschermd van de rest van het Internet.
Email die naar anderen moet wordt naar de provider gesmarthost door mijn servertje omdat de meeste providers de standaard mailporten niet doorlaten. Dan natuurlijk niet meer afgeschermd maar je weet toch niet wat er op de pc van de ontvanger nog allemaal gebeurd.
08-03-2015, 14:44 door Anoniem
Ze geven aan dat door 3rd partieS penetratie testen gedaan zijn. Echter noemen ze maar een enkel bedrijf

Het enkele feit dat er dergelijke testen zijn gedaan zegt niet zoveel; wat is er gevonden, en wat heeft men gedaan om eventueel gevonden problemen te verhelpen ?

Het feit dat de test door ''een enkel bedrijf'' is uitgevoerd lijkt mij van ondergeschikt belang; als de testen maar goed worden gedaan. Je kunt moeilijk verwachten dat een bedrijf dat je een gratis dienst aanbiedt pentesten door een reeks van leveranciers laat doen.

Dergelijke testen zijn immers duur, en commerciele ondernemingen vragen meestal ook geen 2nd, 3rd en 4th opinion bij het uitvoeren van een penetratie test.

Het grootste risico wat ik zie bij penetratie testen waar ik mee te maken heb gehad in bedrijven is, na het uitvoeren van een inhoudelijk goede pentest, dat aangetroffen problemen niet worden verholpen, maar worden bestempeld als een ''geaccepteerd risico''.
08-03-2015, 14:50 door Anoniem
duitsland is trouwens niet echt bekend om privacy dacht ik zo? ehe

Duitsland staat juist bekend als een van de meest restrictieve landen op privacy gebied; in Duitsland gaat men bijvoorbeeld beter om met privacy dan in Nederland, waar een stuk minder mensen zich druk maken om privacy issues.

Het Duits hooggerechtshof heeft op dit gebied ook een behoorlijk goede reputatie. Hoe kom je op de uitspraak dat Duitsland niet echt bekend zou staan om privacy ?
08-03-2015, 14:55 door Anoniem
Hebben jullie ook ervaring met deze dienst en wat vinden jullie, als experts, hiervan?

Losstaand van de beveiliging van de dienst zou ik ook denken aan de continuiteit van een gratis dienst. In hoeverre is het een probleem voor jou indien je de dienst gebruikt, en indien de stekker eruit wordt getrokken, waardoor je de dienst niet meer kan gebruiken, en waardoor je mailbox niet meer beschikbaar is ?

Omtrent de beveiliging; wie beheert de encryptie keys ? Ben je dat zelf, en heeft de aanbieder geen toegang tot je mailbox ? Of beheren zij de encryptie keys, en ben je m.b.t. je privacy afhankelijk van hoe zij met jouw gegevens om gaan ?

klinkt als een advertentie poging op security.nl

Tja, en dit klinkt nou echt als een flauwe opmerking, die nergens op is gebaseerd. Ben je met losse flodders aan het schieten ? ;)
08-03-2015, 15:08 door Anoniem
Het feit dat ik met NoScript aan een volledig witte pagina krijg, en Ghostery een Piwik Analytics script detecteert, is voor mij persoonlijk voldoende om ze te negeren. Maar nogmaals, dat is persoonlijk.

Tja, is het nou echt zo dramatisch dat een beheerder van een website, die jou een gratis dienst aanbiedt, bijhoudt waar de bezoekers van de website vandaan komen ? Wat zou je zelf doen, indien je zo'n dienst zou opzetten ?

De aanwezigheid van scripts zegt ook weinig, indien je niet kijkt naar de inhoud van die scripts. Wat is inhoudelijk bezwaarlijk aan het gebruikte script ?

Ik heb ook een game community die mij alleen maar geld kost i.p.v. oplevert. Maar dat is hobby.

Hou je zelf op een of andere manier bij wie de bezoekers zijn van jouw gaming community ? Of heb je geen flauw benul ?
08-03-2015, 15:24 door Anoniem
Enkele vragen die bij mij opkomen :

- Indien de ontwikkelaars 100% oprecht zijn in hun stelling dat hun dienst veilig is, wil dat dan ook zeggen dat dit klopt ? Goede bedoelingen zijn geen garantie voor veiligheid, en de programmeurs hebben mogelijk fouten gemaakt die de dienst minder veilig maken.

- Tegen welke bedreiging wil je je privacy beschermen ? De ene dreiging is de andere niet. Hoeveel tijd en geld men wil/kan steken hangt zowel af van de capabilities van je ''tegenstander'' als ook van het belang achter het onderscheppen van jouw communicatie.

- Hou je rekening met het feit dat het gebruik van zo'n encrypted email dienst je juist in het visier kan brengen van bepaalde diensten, ongeacht het feit of ze de communicatie kunnen decoderen ?

- De dienst zou open source zijn. Zijn er 3rd party security assessments beschikbaar m.b.t. deze dienst, die een objectieve beoordeling verschaffen ?
08-03-2015, 17:34 door Anoniem
Iets dieper graven. Eu Vs alle anglo landen ask snowden of assange of wie dan ook.
Een beetje consumenten level privacy aanscherpen mooi allemaal maar neemt niet weg dat duitsland een land is waar veel mensen niet eens speelsfilms durven te downloaden !!! Ook zijn berichten te vinden dat ze enorm wilde investeren in surveillance. en merkeltje deed laatst heel stom over net neutrality. Desondanks lijkt me het wel een leuke mail dienst om te proberen.
08-03-2015, 19:40 door Anoniem
Waarom stellen jullie allemaal hier zoveel vragen, terwijl je die ook aan Tutanota heel simpel neer kan leggen?

Dus maak even een accountje aan, en kom dan even terug.met jullie opmerkingen of bevindingen.

Lijkt me simpel zat.

Trouwens praten we hier over een NSA achtige beveiliging van een mailbox?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.