Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Yahoo brengt nog dit jaar een plugin uit die end-to-end-encryptie naar gebruikers van zijn maildienst brengt. Het bedrijf heeft de broncode van de plugin inmiddels vrijgegeven. Ook introduceert het bedrijf een sms-dienst voor korte inlogcodes voor e-mail.

Yahoo heeft de broncode van zijn plugin 'End-to-End' vrijgegeven. Het bedrijf hoopt feedback te krijgen van deskundigen en Yahoo hoopt dat andere mailaanbieders zijn voorbeeld gaan volgen. De plugin is een fork van Googles vergelijkbare  End-to-End-extensie, die het zoekbedrijf vorig jaar op GitHub zette. De tool maakt het versleutelen en ontsleutelen van berichten via webmail mogelijk en is gebaseerd op OpenPGP.

Daarnaast start Yahoo per direct met On-demand passwords. Gebruikers moeten hiervoor inloggen op hun Yahoo-account en aangeven dat ze inlogcodes op hun mobiel willen ontvangen. De volgende keer dat ze willen inloggen op hun Yahoo-account, kunnen ze op de knop 'send my password' klikken. Yahoo stuurt vervolgens een viercijferige code, waarmee gebruikers bij hun mail kunnen inloggen. Voorlopig werkt het alleen voor Amerikaanse gebruikers.

Moderatie-faq Wijzig weergave

Reacties (43)

Ik dacht even 'Yahoo webmail, bestaat dat nog?' Maar (voor mij) verrassend nog 287 miljoen gebruikers (dec 2012). Wel leuke ontwikkeling, maar het voelt tegelijkertijd aan als 'laatkomers'. Des al niet te min goede ontwikkeling
ooit kon je aan iemands emailadres redelijk afleiden wanneer hij/zij ermee was begonnen.
@yahoo was eerder populair dan @hotmail waarna @gmail en daarna @live kwam.
Hier een Rocketmail.com gebruiker. :)
Daarom heb ik idd ook een yahoo adres. Daar gaat al m'n belangrijke mail naartoe, staat ruim 10 jaar mail op en ik kan alles makkelijk terugvinden. :D
heb ik ook, juni 2004 begonnen met Yahoo. Nu na 10,8 jaar ruim 28.000 mailtjes in de inbox. En met 1 TB opslag kan ik er waarschijnlijk nog genoeg kwijt! _/-\o_
Je moet natuurlijk niet de @msn.com vergeten! Deze was veel eerder dan @hotmail, maar eerder dan @yahoo weet ik niet om eerlijk te zijn.

-
Wel goed dat Yahoo deze plugin implementeert
Incorrect, hotmail.com was er al ruim voordat msn.com beschikbaar werd. Hotmail was al rond 1996 beschikbaar, het werd later overgenomen door Microsoft, en pas daarna werd MSN.com publiekelijk beschikbaar (ik weet niet meer of het al beschikbaar was ten tijde van de ISP status van MSN, maar dat was dan ook alleen op de Amerikaanse markt gericht, waardoor het sowieso niet in dit plaatje van "afleiden wanneer iemand begonnen is" past, want dan kun je AOL en Compuserve ook wel gaan meenemen in dit verhaal).
Ik heb nog Compuserve cd-roms liggen met 'Probeer nu een maand gratis internet uit!'
Copyright 1992-2001 :-)

Er zijn er hier die jonger zijn dan mijn coasters :-)
Ik heb nog Compuserve cd-roms liggen met 'Probeer nu een maand gratis internet uit!'
Copyright 1992-2001 :-)
Die waren destijds razend populair als onderzetter want je werd daarmee bestookt. De eerste daarvan waren met Netscape Navigator. Waar blijft de tijd...

Zelf begonnen bij HetNet toen het nog een gesloten mini internet was, eigenlijk alleen voor Rabo telebankieren. Ik dacht met IE 5 op Windows 98.

Ik mis in het lijstje nog @outlook.com maar dat is blijkbaar nooit goed aangeslagen want ik zie daar helemaal niemand mee.
Je moet natuurlijk niet de @msn.com vergeten! Deze was veel eerder dan @hotmail
HoTMaiL (ja, met hoofdletters) was een van de eerste (zo niet d eerste) gratis online e-mailproviders, dus dat is niet zo.
Jazeker dat bestaat nog!
Ik gebruik het nog dagelijks. In tegenstelling tot gmail heb je er zelfs geen limiet.
1 TB is de limiet (ca 54 miljoen mailtjes) bron https://overview.mail.yahoo.com/
Bedankt om de puntjes op de i te zetten.
Ik ging er van uit dat het onbeperkt is. Al zal 1TB voor zowat iedereen wel gelijk zijn aan onbeperkt.
volgens mij is het juist zo dat yahoo erg veel door amerikanen gebruikt word
Maar na openen zijn de emails gewoon weer ontsleuteld nietwaar?
Dus via de patriot act kunnen de diensten er gewoon nog bij dan toch?
End-to-end betekent van eindapparaat tot eindapparaat. Dus het word gedecrypt binnen de browser, dus los van de encrypties die de veiligheidsdiensten kunnen kraken, kunnen zij dit niet afluisteren.
Dus het word gedecrypt binnen de browser

Dat is dan ook gelijk de zwakheid. Het werkt dus niet met telefoons, tablets of andere browsers dan de (laatste) Chrome versie. En uit de GitHub documentatie blijtk dat je je eigen key-server moet opzetten. Daarmee vallen zelfs de meeste Tweakers al af.

Ik kon nergens vinden hoe het nu precies werkt en die hele video laat vooral een gepruts met tools en password prompts zien dat zelfs mij als techneut nog afschrikt. Ook jammer dat - met alle respect - men OS X als demo-platform gebruikt terwijl dat eerlijk is eerlijk slechst enkele eencijferige % marktaandeel heeft. Toch een beetje Silicon Valley beroeps-deformatie vrees ik.

Let wel, ik vind dit een positieve ontwikkeling en fantastisch project, maar het lijtk erop dat de echt grote doorbraak er nog steeds niet is. De meeste desktop mail tools hebben namelijk al integratie met gewone PGP op een soortgelijke of zelfs meer gebruiksvriendelijke wijze. Het grote probeem is tot nu toe altijd n key-management geweest n het feit dat je client PGP support moet hebben. Het lijkt erop dat beide zaken niet opgelost zijn.

Maar als ik iets fundamenteels gemist heb, laat ik me graag corrigeren.
Volgens mij laat het filmpje juist het verschil zien tussen zelf PGP implementeren (links) en hun implementatie in webmail (rechts). Terwijl ze links nog bezig zijn met configureren, hebben ze rechts al een mailtje verstuurd. Terwijl ze links bezig zijn met een mailtje sturen, zijn ze rechts al naar katvideo's en katplaatjes aan het kijken... :D
Ah zo, maar dan is het niet eerlijk, want kiest men gewoon gebruikersonvriendelijke OS-X command-line tools voor PGP. Er zijn zat commerciele pakketten die die moeilijkheid met sleutels ook uit handen nemen.

Het probeem blijft tweeledig:
1) alle clientsoftware dienst aangepast te worden.
2) de sleutel moet uitgewisseld worden

Voor het tweede is Yahoo bezig (en in de demo doen ze alsof ze het opgelost hebben, maar gebruiken een private key server) maar momenteel is dat nog niet zo.

Het eerste is geheel niet opgelost want als die email nu naar een iPhone gaat kan die ontvanger het niet lezen.
Yahoo kan natuurlijk wel de email naar zichzelf sturen na ontsleuteling met ajax, maar kan dat alleen doen op een manier die voor de gebruiker zichtbaar is. Het blijft oppassen natuurlijk.
Ik zit met 2 vragen...

1. Is dit echt veilig? Of is dit alleen veilig tegen iedereen behalve organisaties met de capaciteit van de NSA?

2. Begrijp ik het nu goed dat dit alleen werkt als je certificaten naar je contactpersonen gaat sturen en daarmee een trust opbouwt? Dit gaat voor mij echt niet werken...te veel hazzle met mensen die het nooit gaan begrijpen..
Ad 1. Ja het is echt velig, maar als het enkel niet veilig was tegen de NSA is dat voor de meeste onder ons voldoende lijkt me zo.

Ad 2. Ja dat begrijp je goed en dus is het ook niets nieuws onder de zon en gaat dus ook keihard falen in huidige vorm. Maar ik ben dan niet helemaal eerlijk, Yahoo werkt wel aan het probleem en zou juist als cloud-bedrijf dit moeten kunnen oplossen via cloud-based key servers. Probleem is echter nog steeds dan de client die sleutel moet gaan ophalen en dat vereist dus een aanpassing in alle mailsoftware.

Yahoo hoopt door het sleutel probleem op te lossen voor haar eigen emaildienst genoeg momentum te krijgen dat anderen het ook gaan doen, en het wellicht een standaard wordt in de grote bedrijven en daarmee client-software. Maar dat is inderdaad nog geen uitgemaakte zaak.
Als Google serieus hiermee is, waarom zorgen ze er dan niet voor als je iemand toevoegd aan je Contacts dat het systeem onderwater gewoon key exchanges met die persoon regelt. Dan hoef je er verder als gebruiker niets meer aan te doen. Zal wel te lastig zijn..
Zal wel te lastig zijn..

Dat is het ook, omdat de client-software aangepast moet worden. Immers de key-exchange moet met de client en er is momenteel geen enkele standaard om dat te doen.

Overigens gaat dit bericht over Yahoo, niet Google :)
De volgende keer dat ze willen inloggen op hun Yahoo-account, kunnen ze op de knop 'send my password' klikken.
leest omslachtig maar wel veilig.
Bij onze google accounts is enkel een 6 cijferige ode via SMS nodig als we inloggen op een nieuw/ander apparaat. Dat is wel fijn, zeker toen we hier met die inval van de Gendarmerie de wahtwoorden facebook en gmail hadden afgestaan wisten we dat niemand bij gmail ingelogd was.
Bij onze google accounts is enkel een 6 cijferige ode via SMS nodig als we inloggen op een nieuw/ander apparaa

Nee dat is een fundamenteel andere beveiliging. Wat Microsoft met Hotmail en Google met GMail gedaan hebben is een optionele tweede factor toegevoegd. Die kun je bovendien uitzetten als het een vertrouwd/bekend apparaat is.

Wat Yahoo doet is helemaal geen wachtwoord meer, maar enkel een code. Deze code is maar eenmalig geldig. Vergelijk zeg maar met de oude Postbank tan-codes.
helder!
Wel een gedoe dan.
Wel mooi dat 20 jaar oude PGP mail systeem,
Maar na alle lekschandalen, waaruit bleek dat veel Amerikaanse bedrijven maar al te graag hun servers tegen betaling lieten inrichten naar de fisa standaard, of onderdeel werden van programma's als Prism ben ik toch een beetje wantrouwig om via hen mijn sleutel aan te maken.

Ook werken niet alle clints met pgp,
Zo is van de gmail app bekend dat hij pgp mailtjes niet naar de gebruiker toont, maar markeert als spam omdat hij de inhoud niet kan scannen.

[Reactie gewijzigd door nul07 op 16 maart 2015 09:00]

Je gebruikt je sleutel alleen lokaal, dmv Javascript. Als het naar behoren is opgezet wordt je prive-sleutel niet naar Yahoo gestuurd. Je kunt in Gmail vast wel een regel instellen dat je berichten die beginnen met een PGP header niet naar spam mogen.
Goede zaak dat ze broncode vrijgeven, zo kan iedereen controleren of het systeem klopt.
Het wekt zo in elk geval meer vertrouwen dan het closed-source BitLocker.
Het wekt zo in elk geval meer vertrouwen dan het closed-source BitLocker.

Bitlocker heeft echter niets te maken met email beveiliging!?

Verder is Bitlocker gewoon een open standaard en wel AES CBC. Dat het closed source is is niet zo relevant, want wat op disk geschreven wordt is gewoon te controleren - en is dus ook al lang gedaan. Bij Windows 8 wordt de encryptie niet eens meer door het OS gedaan bij bepaalde SSD's maar de hardware.
Ik heb de video nog niet gezien, maar mooi dat dit steeds meer gebeurt.
Zelf inmiddels protonmail gebruiker, die hebben het plugin vrij voor elkaar gebokst. Een echte zero-knowledge benadering. Wel blijft het een kestie van vertrouwen, maar deze groep vertrouw ik behoorlijk, als ik zie hoe ze hun standpunten ook uitdragen.
Toch wel mooi om te zien dat de onthullingen van Snowden alsnog enkele neveneffecten hebben in de vorm van betere beveiliging. Nu hebben bedrijven tenminste incentive (door weglopende klanten) om wat te doen aan hun (naar mijn mening) lakse houding m.b.t. veilig houden van persoonlijke gegevens.
Of dat iets verandert aan de backdoors is een tweede, maar dit soort ontwikkelingen zorgen voor een overall betere beveiliging plus een stukje awareness dat het tegenwoordig een goed idee wat voorzichtiger te zijn.
Jammer dat het nieuwe openpgpkey niet wordt gebruikt maar dat er nog een aparte keyserver nodig is.
Goede ontwikkeling, maar de sleutel is bekend aan Yahoo, de servers blijven in VS (en bijna geheel netwerk verkeer wordt afgetapt), en NSA een toegang tot gegevens van Yahoo gebruikers had al gehaad, dus ook straks tot die sleutels (mobiele netwerken zijn ook gecontroleerd) ??? Tegen wie is deze encryptie? Waarschijnlijk helpt het niet tegen overheiden, geheime diensten en hackers, maar wel wellicht bij gebruik in gevallen zoals in publieke WiFi netwerken/hotspots?
Bovendien, Mailvelope bestaat al lang.

[Reactie gewijzigd door rayplum op 16 maart 2015 09:11]

Je moet de sleutel ook genereren op de client. Mocht de plugin nu de server gebruiken voor sleutelgeneratie, dan schiet het idd niet zoveel op.

Naar mijn idee wel een goede ontwikkeling. Als grote providers het aan gaan bieden zal het breder gebruikt worden.

[Reactie gewijzigd door W3ird_N3rd op 16 maart 2015 09:17]

Dit is end 2 end encryptie. Dat betekent dat jij en de ontvanger de sleutels hebben en niet Yahoo en het op jouw pc en die van de ontvanger wordt encrypt en decrypt.

Dat maakt meteen de rest van je post ook nutteloos ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True