ProtonMail doorstaat securityaudit en maakt onderzoeksresultaten openbaar

ProtonMail heeft een onafhankelijke securityaudit doorstaan. Net als de broncode van zijn applicaties maakt het Zwitserse bedrijf ook de onderzoeksresultaten van de audit openbaar. Het onderzoeksteam vond een significante kwetsbaarheid.

Het onderzoek werd uitgevoerd door Securitum. Het securitybedrijf heeft zowel black box- als white box-tests uitgevoerd. In dit onderzoek zijn de webapps voor de mail- en agendadienst van Proton getest. De white box-tests werden uitgevoerd op basis van de code die openbaar beschikbaar is op de GitHub van Proton.

Daarmee is meteen de nieuwe versie van ProtonMail getest op kwetsbaarheden door een onafhankelijke partij. Begin juni bracht het bedrijf namelijk ProtonMail versie 4.0 uit, waarmee de mailapp nieuwe functies en een opgefrist uiterlijk kreeg.

In totaal werden er vijf beveiligingsissues gevonden. Vier van deze problemen werden door de onderzoekers geclassificeerd als kwetsbaarheden met een laag risico. Een van de kwetsbaarheden werd geclassificeerd als 'medium'. Het ging hierbij om 'reflected cross-site scripting' waarmee via JavaScript code kon worden geïnjecteerd via een afbeelding in de bijlage van een mail.

Het is niet de eerste keer dat Proton zijn securityaudit openbaar maakt. Eerder deed het bedrijf dit ook al voor eerdere versies van ProtonMail en voor ProtonVPN.

Reacties (66)

RobertPeterson 6 juli 2021 19:06

Gebruik al enkele jaren Protonmail met een eigen domein voor mijn zakelijk mail, werkt naar mijn inziens iets minder vloeiend als de concurrentie.

Concurreert direct met onze Nederlandse privacy gefocussede mailprovider (en google alternative startpage) Startmail en en wint het in mijn ogen net qua pricing en de open inzage in hun privacy audits.

Ik snap ook niet dat sommige het raar vinden dat je moet betalen voor je mail, het is toch eerder raar dat Google, Apple, en Hotmail (microsoft) dit altijd gratis hebben aangeboden? Met ook nog eens grote mailboxen. Dan weet je dat je met iets anders de rekening betaald!

oef! @RobertPeterson • 6 juli 2021 19:14

Hele volksstammen zijn opgegroeid met het idee dat e-mail gratis is. Ik kan wel snappen dat mensen dat vreemd vinden.

Belangrijk is ook dat vroeger de privacy discussie rondom bijvoorbeeld Hotmail en Gmail praktisch niet bestond.

RobertPeterson @oef! • 6 juli 2021 20:25

Ik snap ook dat veel mensen het denken. Maar als je er even over na denkt zou het raar moeten zijn toch?

Hopelijk komt de bezinking snel bij het grote gros dat niets gratis is, en dat er altijd een verdien model zal zijn. Is de dienst gratis, dan ben jij het product.

Belecthor @RobertPeterson • 6 juli 2021 20:28

Nou ja, ik denk dat men wel weet dat je betaalt met je data. Het alternatief is betalen met geld en dat wil men liever niet, inclusief ikzelf. Ik ondervind er geen hinder van.

Tinboy @Belecthor • 6 juli 2021 21:38

Tenzij je alle tracking en reclame blokkeert betaal je ook met geld, alleen niet direct aan Google, Facebook, Amazon of ander bedrijf. Reclame lokt uit tot meer geld uit geven.

De reclame industrie is een miljarden industrie. Dat geld wordt uiteindelijk door de consumenten opgebracht.

Kan het zelf niet onderbouwen, maar ben er wel van overtuigd dat je meer geld uit geeft door reclame. Je betaald twee keer, met je privacy en met geld. En met die gedachtegang bespaar ik geld door voor mail en dergelijken te betalen en reclame als de pest te vermijden.

dezero @Belecthor • 7 juli 2021 00:47

Uiteindelijk betaal je altijd met geld, maar bij "gratis" mail is dat indirect. Bij advertenties betaal je de adverteerder en die betaalt voor je mail. Je betaalt gewoon zelf voor je eigen privacyschending en alle advertenties die je kan missen als kiespijn.

In dit geval betaal ik liever direct.

boolean @Belecthor • 7 juli 2021 09:23

Dat weet men dus niet. Sterker nog, ik ben er zeker van dat jij het zelf niet eens weet en ook niet in staat bent om te bepalen of je er hinder van ondervindt, omdat je de verbanden niet kunt leggen. Wat voor jou als een toevalligheid overkomt, hoeft helemaal niets met toeval te maken te hebben. Weten dat er data wordt verzameld en verkocht, is niet hetzelfde als weten welke data precies is ontsloten en hoe en aan wie het verkocht wordt. Heb je wel eens een dataextract bij Google opgevraagd met alle gegevens die ze over jou hebben verzameld? Dan krijg je werkelijk een hartverzakking, maar het "grappige" is dat dit niet eens alles is. Je kunt enkel de gegevens opvragen die onder jouw account zijn verzameld, niet de gegevens die aan jouw IP zijn geallieerd. Als men daadwerkelijk besefte hoe de vork in de steel zit, had men zich heel anders gedragen. Met behulp van Google's manier van datamining, kan ik de identiteit van het merendeel van de OnlyFans creators achterhalen, terwijl de organisatie daarachter er werkelijk alles aan heeft gedaan om de identiteit te beschermen. Op dezelfde manier kan ik willekeurige Instagram's aan Facebook accounts linken, zelfs als de gebruiker dit volledig heeft gescheiden.

TLDR; je weet dus niet hoe hoog de rekening is die je voor je "gratis" email dienst betaalt.

airell @oef! • 6 juli 2021 20:30

Uiteraard is het volgende ook niet gratis: maar het wordt zo vaak aangeboden bij een internet abonnement. Door dat ook velen alleen dát adres gebruiken, lijkt het ook gratis.

theobril @airell • 6 juli 2021 22:22

Dat doe je denk ik ook enkel als je zeker weet dat je de komende 15 jaar niet wisselt van provider. Heb het ook 1 x genoemd horen worden toen iemand van provider ging wisselen door de gezapte provider.

mcDavid @theobril • 7 juli 2021 08:57

Sja, wie zegt dat je 15 jaar lang gebruik wilt maken van dezelfde mailprovider? Ook daar heb je vendor-lock-in. De enige manier om daaraan te ontkomen is een eigen domeinnaam gebruiken, maar dat brengt weer een gigantische verantwoordelijkheid met zich mee om de rest van je leven dat domeinnaam aan te houden...

!mark @airell • 7 juli 2021 02:09

Dan 'betaal' je door het jezelf lastiger te maken van ISP over te stappen, wat voor de ISP in kwestie mogelijk meer omzet is doordat jij makkelijker blijft hangen

M3m30 @oef! • 6 juli 2021 22:11

Google/Hotmail zijn gratis omdat zij verdienen aan je data.. dus echt gratis.. neen...

thijs96 @RobertPeterson • 6 juli 2021 19:58

Zakelijk heb ik Outlook/office en privé ook ProtonMail op een eigen domein. Kan niet zeggen dat het minder vloeiend werkt dan Outlook, de nieuwe interface is ook echt top! Alleen de app moet nog naar die interface.

RobertPeterson @thijs96 • 6 juli 2021 20:28

Nieuwe interface is zeker een hele vooruitgang! Maar idd het verschil tussen de web en app variant zie ik als iets minder vloeiend! Ook kan ik niet helemaal wennen aan de lay-out. Graag zou ik een iets kleinere inbox hebben en een iets grotere mail. Maar dat zijn persoonlijke voorkeuren.

Finger @RobertPeterson • 6 juli 2021 20:09

Buiten gelaten of ze nu wel of niet scannen op inhoud van je mails is het natuurlijk ook een stukje binding. Apple probeert je zo veel mogelijk bij Apple te houden en Outlook werk ruk tenzij je de office pakket versie hebt. Google probeert je natuurlijk met een relatief goedkope dienst ook zoveel mogelijk bij hun producten te houden.

Sando @Finger • 7 juli 2021 16:49

of ze nu wel of niet scannen op inhoud van je mails

Het is in ieder geval bekend dat ze dat tot in 2017 nog deden. In 2019 werden in ieder geval je aankopen netjes bijgehouden: Wired - Google tracks what you buy online with Gmail. Tegenwoordig gebruiken ze AI om modellen te trainen gebaseerd op o.a. de bijlagen in je email. Zo'n 300 miljard bijlagen per week.

Zie ook mijn blog voor een longread: Google en het laaghangende privacy-fruit.

[Reactie gewijzigd door Sando op 23 juli 2024 00:50]

Coolstart @RobertPeterson • 7 juli 2021 00:59

Betalen voor je gmail e-mail is volgens mij geen garantie dat uw data niet gebruikt wordt. Google blijft nog steeds Google.

Protonmail heeft natuurlijk wel het voordeel van de twijfel ze open source zijn, publieke audits laten lopen, geld vragen voor hun service, onder de Zwitserse wetgeving vallen én privacy hun USP is waardoor hun onafhankelijkheid en oprechtheid natuurlijk zuiverder is dan pakweg Google of hotmail.

bakhuisdennis @RobertPeterson • 7 juli 2021 07:56

Grappig dat je zegt dat het minder vloeiend werkt dan zijn concurentie. Zelf gebruik ik Tutanota en zeg eigenlijk hetzelfde. Vooral Proton had ik het 'vloeiends' verwacht.

Drie jaar geleden had ik drie providers overwogen: Proton, Tutanota, en Mailfence. Uiteindelijk, omdat de verschillen qua privacy dicht bij elkaar lagen voor Tutanota gekozen omdat deze het goedkoopst was (EUR1,-/pm).

Ben benieuwd of er ook Mailfence gebruikers zijn en hoe zij de dienst ervaren.

Sando @RobertPeterson • 7 juli 2021 16:59

werkt naar mijn inziens iets minder vloeiend als de concurrentie.

Welke concurrentie bedoel je in dit geval?

Gmail, Outlook, Zoho etc zullen altijd sneller zijn omdat de data niet ontsleuteld hoeft worden. Bij ProtonMail gebeurt vrij zware decryptie in je browser, niet op de server.

Wat je kunt doen om dit te versnellen is een lichtere key (RSA 2048) of modernere key (ECC ed25519) te genereren voor je account. (Pas op dat je je oude key niet verwijdert. Maak backups.) Android devices zijn notoriously traag met softwarematige RSA.

RobertPeterson @Sando • 8 juli 2021 09:15

Ik bedoelde vooral de ux, verschil tussen mobiele app en browser apps en het toch wat ongemakkelijke switchen tussen de apps (calender, drive, mail)

Munchie 6 juli 2021 18:58

Dus door een afbeelding uit de bijlage in een nieuw tab te openen kan JS code worden uitgevoegd? Dat vind ik nogal wat. Kon je hiermee in theorie iemands gehele inbox doorsturen of het mailbox wachtwoord uit de browser kopiëren?

Ben zelf wel altijd voorzichtig met office bijlage die in een externe editor worden geopend. Maar nooit geweten dat via een afbeelding JS code kon worden uitgevoerd. Gebruik wel NoScript, die biedt ook XSS bescherming voor zover ik weet.

Arfman @Munchie • 6 juli 2021 19:33

Daarom staat bij mijn ProtonMail instellingen ook dat ik nooit externe afbeeldingen laad

bakhuisdennis @Arfman • 7 juli 2021 07:58

Bij Tutanota is dat de default setting. Bij elke email met afbeeldingen verschijnt er een knop zodat je ze bij wens alsnog kan laden, maar worden dus standaard niet geladen.

Is het bij Proton ook een standaardwaarde?

zwennesm @bakhuisdennis • 7 juli 2021 08:26

Ja, ik heb hier zelf nooit de instellingen van aangepast bij ProtonMail en moet inderdaad de afbeeldingen apart inladen.

job_h

@Arfman • 7 juli 2021 11:37

Die instelling is er gelukkig bij Gmail ook, dus dat heb ik zeker aan staan

Quick settings -> See all settings -> General -> Images -> Ask before displaying external images - This option also disables dynamic email.

Sando @Arfman • 7 juli 2021 17:01

Daarom staat bij mijn ProtonMail instellingen ook dat ik nooit externe afbeeldingen laad

Hier ook, maar ik zou willen dat er een "always show images from x@y.z" optie was.

Verwijderd @Munchie • 7 juli 2021 19:18

Dat gebeurt met SVG files. Dat zijn vectorafbeeldingen waarin Javascript code gestoken kan worden (dit kan volgens de standaarden en is bedoeld voor animatie etc).
Een voorbeeld van zo'n file:
https://github.com/swissk...jection/Files/SVG_XSS.svg

Door Github's security instellingen wordt de XSS tegengehouden, maar als je de file download en opent (of op een webserver krijgt geplaatst), voert deze wel zijn code uit op het domein. Zorg ook altijd dat je de reflex hebt om nooit zomaar een file van Github te openen, bekijk eerst de inhoud voordat je hem dubbelklikt. Je ziet dan iets in deze trend:

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
<polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/>
<script type="text/javascript">
alert(document.domain);
</script>
</svg>

Wat vaak wordt gedaan is cookies doorsturen naar een domein zodat een aanvaller jouw sessie kan overnemen. Anderzijds kan je requesten sturen uit naam van de gebruiker, in erge gevallen inderdaad het wijzigen van wachtwoord. Maar dat vereist wel wat scripting en testing, alsook is er een kans dat er bepaalde security headers ervoor zorgen dat dit niet lukt (of met CORS instellingen op de server).

jcbvm

6 juli 2021 18:10

Mooi initiatief vind ik ProtonMail, echter vind ik het nog net niet goed genoeg voor allerdaags gebruik. Ten eerste voelt de iOS app niet fijn aan, volgens mij kunnen ze wel een goede UX designer gebruiken. Daarnaast is het jammer dat ze in Zwitserland hosten, de kosten zijn daar net iets hoger dan elders, waardoor de pakketten een net iets te hoge prijs hebben naar mijn mening.

knabbelaar @jcbvm • 6 juli 2021 18:19

Die prijs is concurrentieel met andere betalende emaildiensten. Neem bijvoorbeeld fastmail: 3$/mnd voor basic of 5$/mnd voor standaard.

En dat is tegenwoordig met minder goede privacy: valt onder de Australische wetgeving, waardoor de overheid wél inzage in je mails kan krijgen, deze kan delen met US/UK/... (five eyes) en NIET verplicht is dat te melden. Vroeger was het beter...

Sando @knabbelaar • 7 juli 2021 17:55

de Australische wetgeving, waardoor de overheid wél inzage in je mails kan krijgen, deze kan delen met US/UK/... (five eyes) en NIET verplicht is dat te melden.

En alleen omdat het in Zwitserland is kan "de overheid" géén inzage in je mails krijgen? Maak je geen illusies hoor.

Kort nadat ProtonMail een crowdfunding "om onafhankelijk te blijven" afrondde en een habbekrats ophaalde, hebben ze voor miljoenen aandelen verkocht aan Charles River Ventures (US).

Ted Dintersmith werkte 20 jaar bij CRV. In diezelfde tijd werkte hij als "Alternate Representative of the United States" voor Obama, de meest klokkenluider onvriendelijke president ooit.

Laat je niet afleiden door prachtige praatjes van 5 eyes en andere voormalig geheime verdragen. Dat dit nu algemene kennis is wil niet zeggen dat er geen andere geheime verdragen zijn. Als iets groeit, als iets populair wordt, dan wil de VS er met hun vette vingertjes bij. Het door Edward Snowden bekend geworden ProtonMail is de ideale honeypot.

Disclaimer: Ik gebruik zelf ook ProtonMail. Prima service. Gewoon omdat ik niet wil dat commerciële partijen een model gaan bouwen van mijn data om me over 3 jaar mee te confronteren. Maar ik geloof niet dat er een gecentraliseerde door twee overheden is gefinancierde service met 5 miljoen gebruikers bestaat waar overheden niet linksom of rechtsom bij kunnen komen.

[Reactie gewijzigd door Sando op 23 juli 2024 00:50]

lecrab @knabbelaar • 6 juli 2021 18:29

Precies. Google? MS? Zelfde soort prijzen, kijkend naar domein-mail. Deze concurrenten van proton hebben wel meer functies en opties, maar de basis is te vergelijken.

Mopperman @knabbelaar • 6 juli 2021 18:48

Kan je beter mailbox.org als voorbeeld pakken in mijn ogen.

Standaard 3€, pro 9€.

Keypunchie @jcbvm • 6 juli 2021 18:12

Kwaliteit mag wat kosten. Zwitserland biedt een goeie mix van infrastructuur en juridische veiligheid.

Gebruiksvriendelijkheid kan wel beter. Met Proton-tools moet je echt nog wel een beetje weten wat je doet.

lecrab @Keypunchie • 6 juli 2021 18:28

Daarentegen is een proces zoals het instellen van je eigen domein heel erg prettig ingericht, dat vond ik dan weer opvallend. Ik heb vorige week een domein geconfigureerd voor een klant. Nooit eerder met proton gedaan.

Verwijderd @jcbvm • 6 juli 2021 19:48

Ook de Proton bridge hapert vaak icm Outlook en Thunderbird. Vaak credentials opnieuw invullen, e-mail verplaatsen naar een andere map wil soms maar niet lukken, etc. En idd die app is ook niet alles. Waarom niet eens een keer dark mode uit regen, de fora staan er vol van. Ik heb mijn account gesloten. Ik had er veel van verwacht, maar ik vond het teleurstellend.

Edit: typo

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:50]

j-nl @Verwijderd • 7 juli 2021 10:28

Vervelend dat je die ervaring hebt. Zelf gebruik ik Protonmail (icm de bridge) op mijn Macbook Pro, met Outlook als client. Werkt fantastisch. Gebruik het nu anderhalf jaar en nog geen een keer m'n credentials opnieuw in hoeven te vullen. Alleen één keer omdat ik zelf de poort voor uitgaande mail wijzigde.

M3m30 @jcbvm • 6 juli 2021 22:13

Ze zitten daar omdat in Europa zij beste privacy wetten hebben..

Memori 6 juli 2021 18:34

ProtonMail werkt uitstekend. Aanrader als je niet afhankelijk van je ISP wilt zijn. Heb zelf de professional pakket. Het is alleen jammer dat je geen custom "from" adres kan opgeven met eigen domein bij het schrijven van een nieuwe mail.

[Reactie gewijzigd door Memori op 23 juli 2024 00:50]

RobertPeterson @Memori • 6 juli 2021 19:03

Het is alleen jammer dat je geen custom "from" adres kan opgeven met eigen domein bij het schrijven van een nieuwe mail.

Bedoel je dit als een trowaway alias of lees ik het helemaal verkeerd?

Memori @RobertPeterson • 6 juli 2021 19:07

Klopt. Dus zoiets als ik.bedrijf@example.com. Over het algemeen is het niet zo'n probleem dat dit niet kan, behalve als je contact op wilt nemen met "bedrijf". In de huidige situatie moet je dus een nieuwe gebruiker aanmaken met het e-mail adres "ik.bedrijf@example.com" zodat je met dat adres kan mailen.

RobertPeterson @Memori • 6 juli 2021 19:15

Ik kan er helemaal naast zitten hoor. Maar je kunt bij instellingen --> identiteit en adressen toch zoveel aliassen maken als je wilt met 5 verschillende domeinen. Dus bijv @pm.me @protonmail.com @Tweakers.net @hotmail.com @weetikhet.nl maar daar aan kun je zoveel mailboxen maken als je maar wilt.

https://protonmail.com/su...se/addresses-and-aliases/

Het staat er niet heel duidelijk, of mijn begrijpend lezen laat mij in de steek.

Elidibus @RobertPeterson • 6 juli 2021 20:46

Volgensmij gaat het er hier om dat hij/zij een catch all emailadres heeft, en daarmee ook op sites zijn "email" achterlaat. Vervolgens kan je dan niet eenvoudig vanuit hetzelfde adres terug mailen, en moet je dus altijd even een nieuwe aanmaken. Gelukkig kan je die daarna ook weer deactiveren, dus is dat geen groot probleem. Al met al komt het ook niet vaak voor dat je terug moet mailen. (als je die catch all gebruikt voor alle online accounts)

Memori @RobertPeterson • 6 juli 2021 21:48

Custom addresses count against your additional addresses limit

De "onbeperkt" regel geldt alleen voor de "+" alias adressen. Ik gebruik echter een punt in plaats van een plus, puur om te voorkomen dat websites (of spammers na database hack) programatisch alles achter de plus verwijderen.

Ook via Bridge en Thunderbird lukt het niet. Wanneer je een niet-bestaand e-mail adres opgeeft krijg je de error "4.0.0 backend: Invalid return path: not owned by user".

Ik heb aan Protonmail gevraagd of ze het kunnen toelaten, maar helaas lijkt het er niet op dat ze het gaan doen.

Please note that, as we have stated in our previous message, it is currently not possible to do what you are looking to achieve with ProtonMail. However, we have passed your feedback on to our developers for further consideration.
They will look into the possibility of implementing the necessary changes in order to make it possible to create alias addresses without the "+" symbol and be able to send messages from under those aliases.
Unfortunately, we cannot speculate on when this feature may be released.

thomvh @Memori • 6 juli 2021 19:11

Je kunt wel ontvangen door een + alias te gebruiken. Maar verzenden inderdaad niet. Kunt altijd AnonAddy gebruiken daarvoor.

Sando @thomvh • 7 juli 2021 17:06

Werkt dat altijd? Of moet je ze wel eerst toevoegen als alias, die vervolgens niet meetelt met het aantal aliases dat je aan mag maken?

thomvh @Sando • 9 juli 2021 07:55

De plus werkt altijd. Het is een feature die ze een tijdje terug al weer hebben toegevoegd.

maevian 6 juli 2021 18:39

Gebruik ook protonmail, dan wel via de bridge op Thunderbird, nog nooit te klagen over gehad en vind het verfrissend dat een bedrijf privacy als eerste dooel heeft.
Ik raad wel de betalende versie aan en deze te gebruiken met een eigen domein, @protonmail.com kan door sommige bedrijven geweerd worden.

Luuk2015 @maevian • 6 juli 2021 19:45

Wat zou een reden zijn voor een bedrijf om @protonmail.com te weren?

maevian @Luuk2015 • 6 juli 2021 21:41

Omdat je de gratis accounts kan aanmaken zonder dat daar een gsm nummer bevestiging bij nodig is zoals bij gmail (hoeft ook niet bij betaalde accounts trouwens), daardoor veel gebrukt door spammers en malware verspreiders. Doet opzich niets af aan protonmail zelf.

CAPSLOCK2000

Networking en security

6 juli 2021 18:18

Goed bezig daar. Veel bedrijven beschouwen de uitslag van zo'n audit als topgeheim. Misschien wel terecht gezien hoeveel slechte software er is. Maar als klant/gebruiker is het niet echt bemoedigend. Iedereen wordt tegenwoordig namelijk geacht om veel met computers te werken en daarbij veel aandacht aan veiligheid te geven. Maar de meeste mensen zijn niet in staat om veiligheid van software echt te beoordelen, dat is behoorlijk gespecialiseerd werk.

Maar ja, wat moet een gewone gebruiker nou? Die kan onmogelijk het verschil zien tussen veilige en onveilige software. Dit soort audits helpen daar bij om wel het onderscheid te maken. Dan heb je wel weer het probleem welke auditor je vertrouwt en welke niet, maar dat is al weer een stuk beter doen.

Ik heb daarom een grote voorkeur voor bedrijven die wel met hun auditrapport lopen te zwaaien. Bedrijven die er trots op zijn dat ze kwaliteit leveren. Meestal hebben die bedrijven ook de rest goed op orde. Je haalt geen goede score als je niet echt snapt hoe software werkt.

TWeaKLeGeND @CAPSLOCK2000 • 6 juli 2021 18:42

Zo'n audit voor een dienst als deze is schadelijk indien topgeheim. Geheim houden is per direct klanten verliezen. Goed bezig? Nee dit is mijn inziens een belangrijk onderdeel van het businessmodel.

[Reactie gewijzigd door TWeaKLeGeND op 23 juli 2024 00:50]

CAPSLOCK2000

Networking en security

@TWeaKLeGeND • 6 juli 2021 18:47

Voor Proton is het wel extra belangrijk omdat ze zich in deze richting specialiseren, maar eigenlijk geld hetzelfde voor alle grote IT-bedrijven. Maar ga maar eens bij Microsoft of Google vragen om zo'n rapport te mogen inzien. Ze hebben ze wel, maar je krijgt nooit inzage, hooguit de samenvatting van de management summary.
Blijkbaar kunnen die bedrijven ook zonder genoeg klanten vinden.

TWeaKLeGeND @CAPSLOCK2000 • 6 juli 2021 18:50

Ander businessmodel met andere soort klanten he. Proton mail moet het toch echt hebben van security en openheid van zaken. Ging mij er specifiek om dat je in de handjes klapt omdat ze doen wat bij hun businessmodel hoort.

[Reactie gewijzigd door TWeaKLeGeND op 23 juli 2024 00:50]

Sando @CAPSLOCK2000 • 7 juli 2021 17:26

Het onderzoek blijft wel binnen bepaalde kaders. Zo klinkt het veilig en transparant, maar blijft onbenoemd dat Proton bij de data van specifieke gebruikers kunnen als ze dat zouden willen, op het moment dat de gebruiker inlogt.

Dus, als je wilt dat je data uit de handen blijft van commerciële partijen als Google, dan is ProtonMail een goed alternatief. Maar als je wilt dat je communicatie uit handen van overheden blijft, dan kan je ironisch genoeg beter bij Gmail blijven en externe GPG encryptie gebruiken via Thunderbird.

De OpenGPG foundation zelf is tegen de webcrypto-implementatie van ProtonMail en linkt daarbij naar dit artikel.

Cryptography is a systems problem, and the web is not a secure platform for application delivery. The web is a way to easily run untrusted code fetched from remote servers on-the-fly.

edit:

Disclaimer: Ik gebruik zelf ProtonMail plus

[Reactie gewijzigd door Sando op 23 juli 2024 00:50]

klakkie.57th 6 juli 2021 18:39

De prijs mag dan wel correct zijn , voor een particulier als mezelf is 64euro per maand voor 8 mailboxen natuurlijk niet echt goedkoop.

Echt wel jammer want in zou zo overstappen mochten gewoon naar volume rekenen ipv per mailbox, of een éénmalige setupcost en daarna gewoon volume

[Reactie gewijzigd door klakkie.57th op 23 juli 2024 00:50]

Inproba

@klakkie.57th • 6 juli 2021 18:53

Ik weet niet hoeveel je bereid bent uit te geven natuurlijk, maar in de periode van Black Friday/Cyber Monday hebben ze altijd (in ieder geval de voorgaande jaren) 33% korting op hun pakketten. (en dat houd je ook bij het verlengen)

Dawn @Inproba • 6 juli 2021 21:35

Ik moest afgelopen november na 2 jaar toch echt wel meer betalen tov toen ik het initieel voor het eerst afsloot. de korting was minder; nog steeds niet bijster veel voor een 2J plan, maar toch.

patviev @klakkie.57th • 6 juli 2021 18:56

Is het plan Visionary niet iets voor jou?

RobertPeterson @klakkie.57th • 6 juli 2021 19:19

Met visionary ben je 24 euro kwijt en kun je 10 domeinen er aan koppelen. Je hebt dan voor die 24 euro er nog een VPN bij.

https://protonmail.com/signup?plan=visionary

Daarnaast kun je ook bij een plus abonnement domeinen voor bijvoegen. Even een voorbeeldje uit mijn eigen account.

Samenvatting abonnement
ProtonMail Plus-20%
4 €
+ 11.00 GB opslag-20%
8.25 €
+ 15 e-mailadressen-20%
2.25 €
+ 7 eigen domeinen-20%
10.50 €
ProtonVPN Plus-20%
8 €
Subtotaal
33 €
Kortingscode-20%
-6.60 €
Totaal (maandelijks)
26.40 €
Totaal
316.80 per jaar.

(jaarlijkse betaling)

Dan heb je 8 eigen domeinen, 16 mailboxen. 2GB opslag per mailbox en een ProtonVPN voor 8 euro per maand. Maar door de bundle korting kost die 1,40 extra per maand.

Hoe kom jij bij 64 euro per maand?

[Reactie gewijzigd door RobertPeterson op 23 juli 2024 00:50]

klakkie.57th @RobertPeterson • 6 juli 2021 21:04

ik heb 8 usersaccounts dan zie ik dus dat ik het "Professional" abonnement moet nemen voor 8€/m per gebruiker want "Visionary" gaat maar tot 6

RobertPeterson @klakkie.57th • 6 juli 2021 22:30

Of je neemt 2 visionary, maar idd dan ben je duurder uit!

retep69 6 juli 2021 22:27

Is het niet zo dat al het verkeer tussen MTA's bij voorbaat unencrypted SMTP poort is, dus mail nooit secure is? Ik meen me dit te herinneren van het verleden. Of hebben ze daar tegenwoordig een oplossing voor?

Nardon @retep69 • 6 juli 2021 22:36

Dat klopt, mail is standaard nooit end-to-end encrypted, tenzij je OpenPGP of iets dergelijks gebruikt. Mail bij Protonmail is dus standaard ook alleen maar encrypted opgeslagen en wordt dus niet encrypted verstuurd (tenzij je naar andere Protonmail gebruikers stuurt, dan regelt het automatisch het hele OpenPGP verhaal voor je

)

FvGa 6 juli 2021 21:35

Al jaren trouwe en tevreden klant, nooit geweten dat ze Zwitsers waren.

tweakmember 8 juli 2021 02:57

ik zou maar oppassen met protonmail.
in dit artikel staat: 'Europese techbedrijven Tutanota, Boxcryptor, Cryptomator, Mailbox.org, mail.de, Mailfence, Praxonomy en Tresorit gaan niet akkoord met plannen van de Europese Commissie die toegang wil krijgen tot versleutelde data op het internet'
nieuws: Europese techbedrijven waarschuwen Europese Commissie voor afbouw enc...

protonmail staat daar niet tussen en zal waarschijnlijk wel toegang verlenen tot versleutelde data.

[Reactie gewijzigd door tweakmember op 23 juli 2024 00:50]

Verwijderd @tweakmember • 8 juli 2021 10:11

Zwitserland zit niet in de Europese Unie..

Op dit item kan niet meer gereageerd worden.

ProtonMail doorstaat securityaudit en maakt onderzoeksresultaten openbaar

Lees meer

'Ons doel is een privacyecosysteem'

Reacties (66)

Lees meer

'Ons doel is een privacyecosysteem'

Reacties (66)

Sorteer op:

Weergave: