Page 1 of 1

mailbox.org

Posted: Sun Nov 19, 2017 17:10
by microsoft
mailbox.org versucht beim Login mit Jondobrowser, HTML 5-Canvas Bildateien zu extrahieren um seine Nutzer eindeutig zu identifizieren.

Re: mailbox.org

Posted: Mon Nov 20, 2017 16:59
by totentanz
Hab ich auch schon moniert, passt nicht zum Datenschutzkonzept. Support anblöcken ... .

Re: mailbox.org

Posted: Mon Nov 27, 2017 8:18
by MaaSi
microsoft wrote:mailbox.org versucht beim Login mit Jondobrowser, HTML 5-Canvas Bildateien zu extrahieren um seine Nutzer eindeutig zu identifizieren.
Inwieweit wird der Nutzer dadurch eindeutig identizifiert? Beim Aufruf von mailbox.org z.B. über tails, würde mailbox.org dann meine richtige IP-Adresse erfahren?

Re: mailbox.org

Posted: Mon Nov 27, 2017 21:35
by totentanz
Beim Aufrufen des Portals (Mailinterface) https://office.mailbox.org/appsuite/ wird der Canvas Fingerprint (https://de.wikipedia.org/wiki/Canvas_Fingerprinting) abgefragt. So ist auch beim Wechsel der IP die Identifikation des Browsers, und damit des Nutzers, möglich. Gibt folgende Erweiterungen, die diese Pest abblocken:

* CanvasBlocker, für Firefox
* Canvas Defender, für Chrome und Firefox
* Torbrowser hat einen eigenen Schutz implementiert.

Geh zu Posteo, bei denen gibs solche Spielereien nicht.

P.S.: Javascript deaktivieren ist auch eine Lösung. Die Seite funktioniert nur leider nicht ohne Javascript.

Re: mailbox.org

Posted: Tue Nov 28, 2017 11:59
by mbouser
HIIILFEEE - ein CANVAS - jetzt ist man total eindeutig identifiziert!!!

Natürlich seit ihr eindeutig identifiziert, wenn ihr euch bei office.mailbox.org einloggt, dafür wird euer "username" verwendet. Und anhand dieses "username" werdet ihr bei JEDEM Login wiedererkannt, das funktioniert wirklich gut und viel besser als Canvas Fingerprinting.

Warum das Webinterface beim Login prüft, ob Canvas funktionieren, hätte man einfach mal in der Hilfe von mailbox.org nachlesen können: https://support.mailbox.org/knowledge-b ... ox-add-ons (ganz weit unten im Abschnitt "Canvas Blocker")

Zitat:

"Die Funktionalität des mailbox.org Office erfordert die Nutzung von Canvas-Elementen für die Textverarbeitung, die Tabellenkalkulation und den Präsentationsmodus. Deshalb wird beim Login überprüft, ob die Canvas-API vollständig genutzt werden kann."

Man kann das Webinterface inzwischen auch nutzen, wenn man Canvas blockiert, dann kann man eben nur Emails lesen (funktioniert bei mir zumindest mit dem TorBrowser problemlos, sollte also auch mit dem neuen JonDobrowser kein Problem sein).

Cool down!

P.S. Die IP-Adresse kann mit Canvas Elementen nicht deanonymisiert werden.

P.P.S. Wenn ihr es richtig sicher haben wollt, dann nehmt den TorBrowser, mailbox.org bietet dafür einen eigenen Server als Exit Node im Datacenter, das ist derzeit der sicherste Weg, mailbox.org zu nutzen und Posteo hat da nichts vergleichbares zu bieten, siehe Hinweise für TorNutzer: https://support.mailbox.org/knowledge-b ... figurieren

P.P.P.S. Der JonDoBrowser enthält im Moment mehrere schwere Sicherheitslücken (zumindet bei mir, da mein JonDoBrowser im Gegensatz zu zum TorBrowser nicht aktualisiert wurde). Ist eben noch Beta.

Re: mailbox.org

Posted: Thu Nov 30, 2017 1:24
by totentanz
Ja na klar, auch noch den Node von MB nutzen. Hört sich an wie: Ich nutze meinen Klarnamen Facebook-Account nur über facebookcorewwwi.onion. :-D Canvas Fingerprint: Browser und System werden unabhängig von IP und Nutzername wiedererkannt.

Ich persönlich schätze Dienste, die auf solche Spielereien verzichten und politisch neutral sind.

Re: mailbox.org

Posted: Thu Nov 30, 2017 13:47
by microsoft
Es ist nicht nur die Canvas Abfrage bei Maibox.org die mich an dieser sogenannten supisicher Maibox stört. Mindestens ebenso schräg ist das Google Captcha bei der Registrierung.

Mit Jondos und Jondonym/Jondobrowser oder Tor und Torbrowser gelingt bei Mailbox.org ja nicht mal eine gute Anon-Registrierung. Bei Posteo ist das möglich.

Die Begründung für diese Einschränkungen bzw. deren Unnutzbarkeit von Mailbox.org halte ich für vorgeschoben. Auch der Support und die Hilfestellung bei Nutzungsproblemen sind bei dieser Firma miserabel, jedenfalls meiner Erfahrung nach. Was nützt mir deren schwachsinniges Ticket wenn sie meine erste Frage und Kritik nicht kompetent beantworten. Auch da gilt: Es gibt keine dummen Fragen, sondern nur dumme Antworten.
Ich habe die Firma links liegen lassen.
Schade nur, dass sich Cane/Privacy-Handbuch für die so reingehängt haben.