Hushmail: зачем запускать версию Java

by Опубликовано

Поскольку Lavabit временно закрыт и возникла неуверенность в том, сможет ли он снова встать на ноги, пользователи службы безопасной электронной почты, возможно, сразу же начали искать альтернативы. Вероятно, первое место в списке занимает Hushmail, давний провайдер электронной почты, который предлагает своим пользователям бесплатные и премиум аккаунты.

Бесплатную учетную запись на самом деле нельзя использовать, если вы спросите меня, поскольку она дает вам 25 мегабайт дискового пространства и требование входить в систему не реже одного раза в три недели, чтобы избежать ее закрытия.

Многие пользователи не знают, что Hushmail предлагает два разных варианта связи с их серверами. Хотя оба используют шифрование для защиты электронной почты от посторонних глаз, они различаются по тому, где выполняются важные операции.

Если вы используете конфигурацию по умолчанию, критические операции с парольной фразой и закрытым ключом выполняются на сервере Hushmail. Это проблематично, поскольку это дает операторам сайта — а, следовательно, также правоохранительным органам и другим агентствам — возможность расшифровывать электронные письма пользователей, поскольку они имеют доступ к серверу, на котором выполняются операции.

Wired опубликовано статья 2007 года об этом и о том, как это было использовано для сбора доказательств предполагаемого дилера стероидов.

В любом случае, если вы используете не-Java способ подключения к Hushmail, вы теоретически даете любому, у кого есть доступ к серверу, — Hushmail, Feds, агентствам — возможность расшифровать все ваши сообщения.

Единственный способ обойти это — использовать Java-апплет вместо того, что предлагает Hushmail. Причина в том, что апплет запускается на локальном компьютере и берет на себя все расшифровку и шифрование локально, так что операторы сервера не могут перехватить пароль и расшифровать электронные письма.

А анализ безопасности регулярного сервиса Hushmail намекает на возможные векторы атаки. В нем выделены три сценария, при которых ваши данные могут быть незащищены:

  • Злоумышленник контролирует веб-сервер.
  • Злоумышленник контролирует локальный компьютер.
  • Злоумышленник взламывает веб-сервер после доступа к электронной почте (память)

Две уязвимости веб-сервера больше не играют роли, если вы используете Java-апплет.

Включение Java

Пользователи могут включить Java при входе в службу. Вероятно, лучше всего сделать это при первом входе в учетную запись, но вы можете переключиться на Java — и обратно — в любое время.

Java Hushmailвключить Java

Если вы сразу войдете на страницу, вы начнете использовать новый Hushmail. Чтобы этого избежать, нажмите «вернуться к исходному Hushmail», который перенаправит вас на Java-версию почтовой службы.

java-апплет hushmailЗапрос разрешения Java

В зависимости от того, как настроен ваш браузер, вы можете получить запрос на разрешение вверху или запрос на загрузку и установку Java, если он не установлен в вашей системе.

Вы также можете получить второе приглашение, в котором вас спросят, хотите ли вы запустить приложение HushEncryptionEngine, которое вам также необходимо принять.

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *