¿El uso de JavaScript hace que ProtonMail sea inseguro?

Question

¿El uso de JavaScript hace que ProtonMail sea inseguro?

#1 de Yuriko (4 votos)

5

Me gusta el aspecto de ProtonMail . Sin embargo, lo que me impide iniciar sesión es que parece que se usa JavaScript en varios puntos del sitio, y para que alguien lea su correo electrónico, debe hacer clic en un enlace a lo que creo que es una página de JavaScript.

Para personas como yo que usan Tor Browser Bundle con NoScript: incluso si el sitio es utilizable, ¿qué pasa con los usuarios finales que desean ver el contenido de su mensaje mientras está en Tor?

Me preocupa algo como lo que pasó con Freedon Hosting . Pero, incluso sin una vulnerabilidad, he visto ataques bastante simples que utilizan JavaScript para desenmascarar a alguien.

Esto parece una cosa bastante estúpida, pero estoy lejos de ser un experto. ¿Estoy equivocado aquí, exagerando, o es esta una gran vulnerabilidad real que, por ejemplo, el FBI (o lo que sea que tenga Suiza) podría usar para obtener una dirección IP?

EDITAR: encontré este artículo que es mi preocupación.

privacy encryption tracking javascript protonmail

pregunta k1308517 12.04.2016 - 15:08

fuente

1 respuesta

Lea otras preguntas en las etiquetas privacy encryption tracking javascript protonmail

¿Cómo obtener la contraseña TOTP con hmac sha 512 como función hash? ¿Se puede usar HPKP para rastrear a los usuarios?

score 4 · Answer 1

Nota: esta pregunta podría haber sido mejor en la comunidad Tor a pesar de estar en el tema aquí.

Thomas Roth demostró que Protonmail era vulnerable a un Ataque de secuencias de comandos entre sitios (XSS)

El video (Vimeo) que realizó muestra que al menos el cuerpo del correo era vulnerable a Javascript inyección. Tan pronto como el receptor lee el correo, se ejecuta el código. Desafortunadamente, este código puede ser malicioso y puede, entre otras cosas, desanimar al usuario. El FBI demostró que era posible cuando se apoderaron de Freedom Hosting. (Aunque explotaron un 0-day en Firefox).

Usar el Navegador Tor con Javascript habilitado es arriesgado. Desactivarlo reducirá la superficie de ataque. Los desarrolladores de Tor son conscientes de este problema y lo abordan en su Preguntas frecuentes:

¿Por qué está configurado NoScript para permitir JavaScript de forma predeterminada en el navegador Tor? ¿No es inseguro?

Configuramos NoScript para permitir JavaScript por defecto en el navegador Tor   Porque muchos sitios web no funcionan con JavaScript deshabilitado. Más   Los usuarios se darían por vencidos con Tor por completo si un sitio web que quieren usar   requiere JavaScript, porque no sabrían cómo permitir un   sitio web para usar JavaScript (o que habilitar JavaScript podría hacer una   trabajo en el sitio web).

El navegador Tor te da la oportunidad de deshabilitar JavaScript (con el complemento NoScript). Sin embargo, como puede haber notado, Protonmail depende en gran medida de JavaScript, y deshabilitarlo evitará que uses su servicio:

¿Por qué necesita JavaScript, almacenamiento de sesión y cookies?

ProtonMail realiza el cifrado y descifrado de mensajes en su web   navegador.

Esto asegura que no tenemos la capacidad de descifrar de forma independiente   Sus mensajes y por lo tanto garantiza la seguridad y privacidad de sus datos.   Para realizar el cifrado y descifrado en su navegador web, necesitamos   para utilizar JavaScript para el cifrado / descifrado y SessionStorage para   Guardando su (s) clave (s) privada (s) localmente. ProtonMail también requiere cookies.   para que podamos almacenar la información de su sesión actual   e inicie sesión en su cuenta.

^{(El último énfasis es el mío)}

Por lo tanto, tienes que hacer una elección. Cualquiera de los dos decide confiar en que Protonmail sea seguro (aunque se hayan encontrado vulnerabilidades); o te alejas y encuentras otra solución.