Mozilla werkt aan Firefox-dienst voor inloggen met willekeurig mailadres

Mozilla is bezig met het ontwikkelen van een dienst waarmee gebruikers willekeurige, anonieme e-mailadressen kunnen aanmaken om zich te registeren bij webdiensten. Mozilla stuurt mails dan automatisch door naar het echte e-mailadres van gebruikers.

De functie heet Private Relay, blijkt op de site van Mozilla. Met een druk op de knop maakt de software een e-mailadres aan voor alleen die persoon en op die site, waarna Relay alle mails doorstuurt. Dat voorkomt dat gebruikers bij allerlei diensten hun eigen mailadres moeten gebruiken, dat vervolgens bij een datalek naar buiten kan komen. De code voor de dienst staat op GitHub. De dienst werkt met Python 3.7 en een SocketLabs-server.

De dienst werkt als add-on binnen browser Firefox, maar is vooralsnog in een gesloten bèta. Op een later moment moet de bèta opengaan. De dienst doet denken aan Sign In With Apple, waarbij Apple een geanonimiseerd mailadres aanmaakt voor gebruikers en mails doorstuurt.

Door Arnoud Wokke

Redacteur Tweakers

30-04-2020 • 14:27

63

Reacties (63)

Sorteer op:

Weergave:

Dus feitelijk kan je nu overal 'bla@bla.bla' gebruiken en laten redirecten naar je eigen e-mail adres?
Die info zal toch ergens opgeslagen moeten zijn (dat het naar je eigen e-mail adres doorgestuurd moet worden), en kan (zij het minder makkelijk) alsnog gelekt worden?
Security werkt in lagen en is niet absoluut. Dus idd, de relatie tussen het anonieme en je echte adres kan uitlekken. Maar je hebt nu wel 2x een datalek nodig, 1x voor je anonieme adres bij die dienst en 1x bij Firefox. Dat maakt in verhouding de kans weer kleiner dat het lekt.
Nou nee. Je hebt nog steeds 1 datalek nodig. Als de servers van Mozilla uw data lekken heb je al het probleem.

Maar nu wordt dus Mozilla een veel groter target (want meer waard, en dus grotere stimulans om te proberen te hacken)
Ik weet niet hoe ze het precies doen, maar Mozilla nauwelijks hackbare gegevens vast te leggen. Alleen dat mail naar 'willekeurig.adres@mozilla.org' wordt doorgestuurd naar jouw adres.

Ze hoeven niet vast te leggen aan welke dienst dat adres is gekoppeld, wat je wachtwoord daar is, etc. Er valt dus weinig te doen met de Mozilla gegevens.

Indien iemand die mailbox bij Mozilla hackt kan er wel misbruik gemaakt worden, maar dat is wat anders dan een groot datalek.
Eigenlijk is dit een vorm van wachtwoorden opslaan in de browser, alleen nu via e-mail.
Dat wordt uiteindelijk ook afgeraden en liever een gespecialiseerde password manager.

Ook werkt dit natuurlijk alleen als je bij Firefox ingelogd aan het browsen bent.
Nee. Want als Firefox u een random e-mailadres geeft van een mailserver van mozilla, moeten de die servers weten naar waar ze het moeten doormailen.
Dat klinkt erg logisch. Maar wat is het daadwerkelijke verschil in kans voor een levenslange Internetgebruiker?
Je hebt maar 1 van de 2 nodig om te gebruiken voor je spamlijst om spam te versturen.
Dus voor verzamelaars van emailadressen om spam te versturen maakt dit niet uit.
Het beschermt tegen hergebruik van zwakke wachtwoorden.

Als bla@bla.bla + wachtwoord hunter2 uitgelekt is op Marktplaats en jij gebruikt dit ook op PayPal, dan heb je een gigantisch lek.

Als de gebruikers een eenmalig email adres in de gelekte data heeft, dan kan je deze veilig hergebruiken.

Combineer dit met een password manager+ random gegenereerde sterke wachtwoorden en een hacker zou heel veel moeite moeten doen om extra accounts van je te kraken, wanneer hun een gelekte db in handen hebben.


Maar als ze bij Mozilla's dienst naar binnen komen, dan kan het wel een grote lek tot gevolgen hebben.

Gelukkig is dit ook niet het doel, op het github staat het volgende:
Recipients will still receive emails, but Private Relay keeps their personal email address from being harvested, and then bought, sold, traded, or combined with other data to personally identify, track, and/or target them.

[Reactie gewijzigd door _Galavant op 23 juli 2024 00:05]

Alleen maak je een onderscheid tussen waar je met je echte personalia registreert (Paypal, KLM, werk, Apple ID, Spotify etc) en met een mailadres zoals ikwilhelemaalgeenspamberichtenontvangen@hotmail.com of houdjespambijje@gmail.col wanneer je MOET registreren om bijvoorbeeld iets in te zien of als je een accountje voor de leuk hebt.

Ik gebruik twee e-mail adressen werkt perfect. Bij de een kan het me niet boeien of dit buit gemaakt wordt bij een data lek en bij de andere wel maar die gebruik ik alleen voor belangrijke zaken.
Het beschermt tegen hergebruik van zwakke wachtwoorden.
Volgens mij (en de repo op Github) is dat een leuke bijzaak. Het doel is voornamelijk om het volgende te voorkomen:
Recipients will still receive emails, but Private Relay keeps their personal email address from being harvested, and then bought, sold, traded, or combined with other data to personally identify, track, and/or target them.
Best wel een theoretisch streven. Je zou dus voor al je accounts, wat bij veel mensen al snel 50-100 accounts betreft, terug moeten gaan naar de service en dit omzetten naar deze wegwerp email-addressen.

Wat niets terugdraait. Je echte email gaat allang rond. En niemand begint vanaf niets, iedereen heeft al overal accounts. Doe het bij een website niet, en je email gaat rond tussen data brokers.

Niet echt praktisch allemaal. Het enige nut is om bij een specifieke, nieuwe dienst je email af te schermen.
Iedere dag komen er nieuwe gebruikers. Dat het voor ons niet zo praktisch is klopt. Maar als je net 'start', is het een mooie service. Maar wel eentje met een risico. Maar dat geldt dan ook weer voor de alternatieven...
Dat het voor ons als tweakers niet zo praktisch is klopt.
Kom op zeg, een beetje Tweaker draait daar zijn hand niet voor om!
Maar als je net 'start', is het een mooie service. Maar wel eentje met een risico. Maar dat geldt dan ook weer voor de alternatieven...
Een eenvoudige oplossing is om zelf een domein te nemen (6 euro per jaar voor .nl, correct me als je goedkoper kent) waar je een mailadres kunt definieren en aliassen voor al die losse diensten. Klinkt omslachtig, maar went zelfs zonder automatisering heel snel.

Dan kun je alsnog een katvanger van Mozilla ervoorhangen, natuurlijk!

edit: het een sluit het ander niet uit

[Reactie gewijzigd door wankel op 23 juli 2024 00:05]

Ja, met een rewrite rule staat het wel ergens geregistreerd.
Dus de info kan gelekt worden.

Maar het lijkt vooral lokaal te draaien, dus het is compleet aan de gebruiker om er voor te zorgen dat het veilig zit.

[Reactie gewijzigd door Bein Stuyle op 23 juli 2024 00:05]

je hebt per dienst een ander adres,
dus als er 1 gelekt wordt, cancel je dat email adres gewoon,
daarnaast als je vaak hetzelfde wachtwoord gebruikt ligt deze niet op straat icm jouw email adres.
ik zie de voordelen wel.
alleen wat als deze dienst gehacked wordt?
lijkt me alleen lastig te onthouden welk adres bij welke site hoort, hier zou je een pw manager voor kunnen gebruiken.

vraag me alleen af of dit een betaalde dienst wordt op niet.
Ik dacht ook aan wachtwoord hergebruik, maar de meeste mensen doen dat toch omdat het makkelijk is?
Je normale email + eigen gekozen (semi) random wachtwoord is makkelijker dan echt random email en vast wachtwoord. Je wisselt de 2 dan gewoon om en zet er een dienst tussen, en een password manager zal nog nodig zijn.
Ik denk dat dit meer zal werken als wegwerp email die je nog een tijd volgt (ik denk aan 1 keer per jaar iets verkopen op Marktplaats, nieuw random account, monitoren tot verkoop en vergeten) dan beveiliging.
Wat veel mensen niet weten is dat de email standaard een leuk truukje heeft hiervoor. Je kan '+iets' aan het adres gedeelte van je email toevoegen, bv als mijn email adres aequitas@example.com is dan kan ik voor Tweakers aequitas+tweakers@example.com gebruiken. Het '+tweakers' gedeelte wordt er dan afgehaald door de ontvangende mailserver bij het bepalen van de 'inbox', dus de email komt dan gewoon in de 'aequitas@example.com' inbox terecht. Hiermee kan je met 1 bestaand email adres eindeloze variaties hebben. Nadeel is wel dat het natuurlijk makkelijk te herkennen is en een gemiddelde hacker/spammer dan zowel aequitas@example.com en aequitas+tweakers@example.com kan gaan gebruiken in zijn pogingen.
Wat veel mensen niet weten is dat de email standaard een leuk truukje heeft hiervoor. Je kan '+iets' aan het
Het wordt veel gebruikt maar het is niet standaard. Je mailserver moet dit ondersteunen. Op Unix-systemen is het gewoon, maar nog niet standaard. Voor zover ik weet wordt dit kunstje niet ondersteunt door Exchange/O365.

Zelf gebruik ik die + niet. Er zijn/waren te veel websites die een mail-adres met een plusje er niet niet accepteren. Zelf heb ik mijn mailserver altijd het min-teken laten gebruiken, dat is eigenlijk altijd toegestaan. BV: CAPSLOCK2000-tweakers@domein.com
Toevallig vandaag nog eens gekeken of dit al ondersteunt wordt. Nog niet maar er wordt wel al aan gewerkt: https://office365.uservoi...mail-aliases-in-office-36
Zoveel websites die + niet toestaan, dus praktisch nutteloos.
Of wel toestaan maarrr dan *niet* in het 'wachtwoord reset aanvragen' formulier... :S
Mijn ervaring is dat het bij zo'n 75-90% van de websites wel werkt (N>100), dus 'praktisch nutteloos' is wat overdreven, maar deze optie van Mozilla is veel eleganter en veel effectiever om wat aequitas al aangeeft.
Wat denk je dat massmailers doen als ze een + in het mailadres zien? die halen juist dat weg, en je kunt het niet meer herleiden.
Onzin, bijna alle sites waar ik mij aanmeld werkt dit prima.
Plus dat je het email adres niet kan weggooien. En dat is nou juist een groot voordeel van dit soort diensten.
Technisch gezien is de definitie van een geldig e-mail adres heel erg ruim.
https://en.wikipedia.org/wiki/Email_address#Local-part

Ik vraag me ook af hoeveel er breekt als je de wat vrijere adressen gebruikt.
ik heb nooit zo het nut daarvan begrepen. je weet dan hoogstens waar je email adress vandaan is gelekt. maar het voorkomt niks omdat je alsnog niet emails kan blokkeren die aan dat adress zijn gericht.
Je kan ze wel blokkeren omdat de To: header het volledige adres met het plus gedeelte bevat.
Zoiets kan al met "openbare webmail" dingen zoals yopmail.com, mailinator.com, byom.de, enzovoort.

Als je je weer voor de zoveelste keer ergens moet registreren of inloggen, bij iets waar je gezien de functionaliteit eigenlijk helemaal geen account zou willen of nodig hebben, vul je gewoon ietsrandoms@mailinator.com in, of ietsrandoms@ een van de vele andere varianten.

En dan ga je naar mailinator.com en vul je "ietsrandoms" in en dan krijg je die inbox te zien. Zonder dat je daarvoor eerst ietsrandoms moest aanmaken of registreren.

Erg handig d:)b
Heb toch vaak gemerkt dat (iig de bekendere van) dit soort diensten geblokkeerd worden. Heb regelmatig gehad dat ik mailinator niet als adres mocht invullen. Zelfs een keer dat de naam van de dienst niet in het email adres mocht voorkomen, dus bv. dienst@example.com.

Dus ben heel benieuwd of dit hier ook zo gaat zijn, of dat dit net zoals bij @apple.com to big to block gaat zijn.
Voor niet relevante registraties of whatever gebruik ik een ander adres dan die zakelijk of prive. Werkt net zo makkelijk. Alles standaard met "unsubscribe" al af laten vangen door de spamfilter en voila. Alleen legitieme email komt binnen wat ik echt nodig heb en de rest zal me een worst wezen.
En ook gelijk een zeer goede reden om dat soort domeinen te blacklisten voor registratie. Dat scheelt namelijk enorm veel oplichting, spam en troll accounts op je platform.
Tja ik zie het anders. Voor platforms waar gebruikers redelijkerwijs echt een account nodig hebben, OK prima. Maar op heel veel sites proberen ze je een registratie door je strot te douwen, ook als je alleen iets wilt lezen of downloaden of wat dan ook.

Maar de meeste van dat soort 'openbare webmail' systemen werken gelukkig ook met andere domeinen (inclusief random eigen subdomeinen) die je kunt laten doorwijzen daarheen.
Ik blokkeer juist die mailadressen aangezien ik zaken doe met echte mensen. Wanneer je dat niet serieus neemt dan hoef ik jou als klant ook niet.
ja want alleen mensen die je een direct emailadress geven zijn echt lol.ik heb geen behoefte eraan dat shitty webshops 1 keer mijn email lekken en ik meteen viagra spam krijg. ook wil ik helemaal niet dat mijn email wordt doorverkocht oid. maar tegenwoordig kunnen we daar niet op vertrouwen, dusja dan maar zo.
Bijvoorbeeld een microsoft outlook, de gratis variant, accepteert al 10 email aliassen per mailbox, hiermee kan je al aardig vooruit om voor diensten op het internet een apart emailadres te gebruiken die toch op dezelfde mailbox uitkomen. Mocht een emailadres op straat komen door een hack kan je deze alias altijd verwijderen en een nieuwe toevoegen, of instellen dat daarmee niet ingelogd kan worden. In de security instellingen van je account kan je namelijk nog instellen met welke emailadressen wel of niet ingelogd kan worden, je kan dus bijvoorbeeld 1 emailadres gebruiken om in te loggen en dat emailadres gebruik je verder nergens, de andere emailadressen verbiedt je om mee in te loggen. (My account -> Security -> More security options)
Voor sommigen zal 10 emailadressen op een mailbox misschien te weinig zijn, maar het is gratis. :) Eventueel kan je betalen voor meer mogelijkheden, of gewoon meer mailboxen aanmaken.
goede tip! Nooit bedacht om het zo te gebruiken. Voel ook wel wat voor de dienst van mozzila. nu is het mailadres nog naar mij toe te leiden en dan niet meer zoals idd bijv. bij een lek vervelend kan zijn. Alleen als je dan moet inloggen op de service dan moet je denk ik wel dat dedicated mail adres bewaren in je password manager denk ik. Maar in combinatie met password manager moet dat goed komen.

Ben bijvoorbeeld ook benieuw hoe dit zit met spam. Mijn vriendin heeft zich proberen uit te schrijven op spam mails die naar haar mailadres waren verzonden maar krijgt er nu juist meer, waarschijnlijk omdat ze nu weten dat het mailadres gebruikt wordt.. Als je dan aan dedicated alias hebt kan je dit gewoon deactiveren via een dergelijke tool.
Ondanks alle goede bedoelingen blijft de mozilladienst een relay dienst en worden jouw emails via die dienst gestuurd, dat kan weer een privacyaspect zijn, of als daar iets mis gaat of gehackt wordt zit je ook weer. Het gebruik van aliassen op je bestaande mailbox zorgt ervoor dat alle emails direct in jouw mailbox worden afgeleverd. Ieder z'n eigen voorkeur natuurlijk.

Add or remove an email alias in Outlook.com
https://support.office.co...6d-40fa-a689-8f285b13f1f2

Dat uitschrijven van spam is meestal niet zo handig nee, want dan weten ze zeker dat dat emailadres actief is. In de EU en met reclame of nieuwsbrieven moet men wel een mogelijkheid tot uitschrijven geven en dat uitvoeren, anders kan je daarover een klacht indienen, volgens mij bij het AP.
Met een alias zou je die alias kunnen verwijderen, wel eerst nog eventuele diensten waar die alias nog gebruikt wordt aanpassen naar je nieuwe email alias, en dan kan je dat alias waar de spam op komt verwijderen en ben je er vanaf.
Let er wel op dat je niet à la minute nieuwe aan kunt maken als je oude aliassen weg gooit.

Naar mijn ervaring moet je een jaar tandenknarsen voordat je weer een nieuwe alias kunt aanmaken.

Mocht je al op die manier aliassen hebben aangemaakt, is het ook raadzaam om de toestemmingen in te stellen of je met die alias(sen) mag inloggen op je mailbox.

Daarnaast kun je met een hotmail/msn/live/outlook.com-account ook een +alias aanmaken zonder een vastgelegde alias.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 00:05]

Daar ben ik niet tegenaan gelopen bij microsoft outlook, maar het is ook niet zo dat ik intensief bezig ben met die aliassen. :) Je voegt ze toe als je er eentje nodig hebt en het werkt. Ik heb geen problemen gehad toen ik er eens eentje moest verwijderen en een nieuwe aanmaken. Verder klinkt het niet echt logisch dat je een jaar zou moeten wachten voordat je er eentje aan kan maken. :?
Ik had er al 10 aangemaakt, en toen ik er een paar oude weggooide om nieuwe aan te maken, kreeg ik "We beperken hoe vaak je aliassen kunt toevoegen aan je account. Probeer het later opnieuw."

Dat "later" was in mijn geval meer dan 3 seizoenen voor mijn gevoel.
Waarschijnlijk zullen er wel website's zijn die het volledige domein blokkeren. Net zoals sommige websites Temporary Mail diensten blokkeren bij registratie.

Overigens doet deze dienst volgens mijn min of meer hetzelfde als de al bestaande dienst AnonDaddy.
Waarschijnlijk zullen er wel website's zijn die het volledige domein blokkeren.
Dan is dat een hele duidelijke red flag om toch niet aan te melden voor die dienst off wellicht toch even een nieuw gmail adres voor aan te maken. Want het is overduidelijk dat deze dienst jouw e-mail adres wil doorverkopen.


EDIT:

Als ik de screenshots in de github issues bekijk zie ik ook dat je een limiet hebt aan relay adressen per echt e-mail adres, 5. Dat moet misbruik al wel wat voorkomen denk ik. Ik wist overigens niet dat Github temporary email diensten blokkeerde, maar ik denk niet dat Github een standaard policy heeft om meteen alle email relay diensten te blokkeren maar dat ze dat na misbruik van bepaalde diensten wel doen. Kortom, dit product moet zich gaan bewijzen. Mijn opmerking was dat als een site dus het domein van Mozilla Private Relay gaat blokkeren (relay.firefox.com) dat de site dus je echte e-mail adres wil doorverkopen. Maar ja onderstaande reacties hebben wel gelijk betreft spam, had ik niet over nagedacht. Hoop dat dit dus voorkomen kan worden.

[Reactie gewijzigd door Marthyn1990 op 23 juli 2024 00:05]

Nee, dat is om bergen spam, troll en oplichting accounts te blokkeren. Niet dat het alles tegenhoud, maar het helpt enorm.
Precies, het idee is mooi maar als hier misbruik van gemaakt wordt en je allemaal spam accounts ziet van dit firefox domein, dan zal je mogelijk moeten gaan blokken. Hoewel er genoeg spam adressen van gmail of hotmail zijn, toch is het een andere slag dan bijv. tijdelijke e-mail diensten of bepaalde .ru adressen oid.
Want het is overduidelijk dat deze dienst jouw e-mail adres wil doorverkopen.
Oh ja?
Github (MS) staat ze ook niet toe..
Dat hangt er dus een beetje van af welk domein ze gaan gebruiken. Als het een domein is specifiek alleen voor deze dienst dan ja, dat wordt snel en makkelijk geblokkeerd.
Maar als ze een domein gebruiken waar ook veel 'gewone' email addressen op zitten dan sluit je toch wel een grotere groep gebruiker uit als je blacklist.
Doen ze al: Je kan de +-truuk gebruiken (olaf+sitename@van.der.spek)
En je kan natuurlijk 'gewoon' een volgend account aanmaken. Daar kan je dan nog veel meer mee doen en vooral tijdig weer weggooien.
maar niks daarvan is op dit niveau en heeft duidelijk een andere usecase. ik heb bijvoorbeeld meer dan 400 wegwerpemails die naar mij forwarden. ik ga echt geen 400 accounts aanmaken. en bij google kan dat nieteens, bij microsoft ook niet. dan zou ik 400 telefoonnummers nodig hebben. en met een plusje is leuk, maar dat verbergt mijn echte email niet, en kan ik alles van dat plusje dan ook blokkeren?
Met de plus truuk kan je in ieder geval alles dat naar dat adres wordt verstuurd automatisch verwerken. Dat hoeft niet meteen de spam-folder of de prullebak te zijn.

En omdat je het op basis van het adres doet waar het naar toe verstuurd wordt, zie je ook meteen wanneer mail adressen zijn doorverkocht en wie dat gedaan heeft.
Daar wil ik alleszins voor betalen als dit naadloos werkt met hun browser. Veel te veel diensten die je gsm en mailadres willen om je te kunnen targetten met hun reclame.
Kijk eens bij Anonaddy. Zij bieden dit aan via een browser extensie
Ik maak hier zelf eens in de zoveel tijd gebruik van via: https://temp-mail.org/nl/ Effectief een 'wegwerpadres'. Handig voor sites waar je perse moet inloggen met een e-mail adres. Je kan dan het willekeurige adres via de pagina bekijken om te zien of er mail op terug komt (dus bijvoorbeeld een link of wachtwoord). Daarna gebruik je het nooit meer.
Gebruik ook guerrillamail.com voor dit doel..
"Mozilla is bezig met het ontwikkelen van een dienst waarmee gebruikers willekeurige, anonieme e-mailadressen kunnen aanmaken om zich te registeren bij webdiensten"

tja.. kon dit ook maar met de kvk..
het is nu de 2e keer dat ik aanzienlijk meer mails ontvang. energy bedrijven, SEO of andere website diensten.... ik schrijf me hier zelf echt niet op in.
Dat is toch niet echt nieuw. Er zijn heel veel van dit soort diensten, bv https://www.ikbenspamvrij.nl.

Op dit item kan niet meer gereageerd worden.