Yahoo Mail will bis 2015 PGP-Verschlüsselung anbieten

Yahoo will im kommenden Jahr flächendeckend eine Ende-zu-Ende-Verschlüsselung für den Mail-Dienst anbieten. Das hat Yahoos Chief Information Security Officer Alex Stamos im Rahmen der Black Hat-Konferenz in Las Vegas angekündigt. ... mehr... Iphone, Yahoo, Marissa Mayer Iphone, Yahoo, Marissa Mayer Iphone, Yahoo, Marissa Mayer

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Und wo ist der Haken?
 
@w4n: Kommt darauf an wer den Schlüssel generiert.
Da Google da mit drin hängt und es zudem noch über einen Browser von statten geht ist das unter dem Strich für die Katz.
 
@LastFrontier: Es kommt eher drauf an, wo liegt der Privatekey. Zwar wird bei der Generierung des Privatekeys nach einem PW gefragt, aber wenn der auf den Yahoo-Server liegt und ich Ihn da eingeben muss, ist nichts mehr Privat. Ich schätze mal der Privatekey wird auch sammt PW auf dem Yahoo-Server liegen, denn ohne den können die keinen Virenscan durchführen ... das ist auch ein Argument bei DE-Mail warum keine Ende-zu-Ende Verschlüsselung eingesetzt wird.
 
@basti2k: Wobei man natürlich auch so selten dämliche Bösewichte finden muss die bei einem Dienst wo man namentlich registriert ist und pro "DE"-Mail etwas Zahlen muss Schadsoftware verschickt..
 
yahoo gibts noch? wer benutzt den dienst überhaupt?
 
@cs1005: Nach Artikel 273 Millionen Anwender ;) Ich kenne auch den einen oder anderen :D
 
@cs1005: Meine Eltern haben beide ihre Mail dort. Was ist daran verkehrt?

Außerdem ist Yahoo Developer "Best Practices for Speeding Up Your Web Site" und YSlow etwas was sich viele sogenannte Web Developer erst mal durchlesen sollten bevor sie eine Seite online stellen.

Wenn ich die 100 eingebundenen JavaScripts, CSS und Bilder in vielen Seiten und die damit verbundenen HTTP requests sehe, dann bekomme ich einen zu viel.
Und für so was nehmen angebliche Profi-Firmen dann noch einen haufen Geld.
 
@Paradise: vielleicht sollten sich die Entwickler bei Yahoo das auch mal durchlesen, wenn man bei UMTS auf 64kbit/s gedrosselt ist, ist Webmail von Yahoo dank der vielen tollen Klicki-Bunti-Funktionen auch kaum noch zu gebrauchen.
 
@cs1005: bis vor ein paar wochen hab ich tatsächlich noch yahoo genutzt. Dann waren immer wieder probleme beim einloggen und ich hatte kein bock mehr. Wenns handy alle 5 minuten sagt "kann mails nicht abrufen passwort falsch?" nervt es auch ganz schön.
 
@cs1005: Dieselbe Frage habe ich mir auch gestellt, nachdem Marissa Mayer dort das Ruder übernommen hat. Damals habe ich mich auch gewundert, dass es die überhaupt noch gibt, nachdem man von Yahoo vorher fast jahrelang nichts gehört bzw. wahrgenommen hat. Aber die Frau scheint einen guten Job zu machen und hat Yahoo offenbar wieder "aufgepeppelt".
 
Schade, dass das wohl erstmal nur mit Chrome funzen wird.
 
seltsam, daß so viele firmen gerade an der sicherheit feilen und alle zugeben, die daten der user zu scannen. ist schon iwie seltsam. ok, geht aus der news nicht hervor, aber die machen es sicherlich auch.
 
@stereodolby: sind aber alles US-Unternehmen. Bisher hat sich keiner der DE-Anbieter bekannt, dass - außer Viren - gescannt wird. Wenn es in Deutschland / EU nur einen guten E-Mail-Anbieter geben würde, der seriös ist UND eine gute Bedienoberfläche ohne 8746324 Werbefenster bieten kann.
 
@TurboV6: Als deutscher Anbieter fällt mir spontan Posteo.de ein. Werbefrei, sehr auf Sicherheit der Daten bedacht und läuft dazu noch mit 100% echtem Ökostrom. Kostet 1€ pro Monat.
 
PGP im Browser wird niemals funktionieren. Einmal XSS und der private key ist geklaut. Sorry, aber kein Mensch der PGP verstanden hat, wird es in einem Browser einsetzen.
 
@Sam Fisher: Richtig, und genau genau deswegen nutzt es auch so gut wie keiner. An dieser Stelle würde ich einfach mal sagen daß es wichtiger ist das ganze zu verbreiten als auf die Sicherheit der Web-GUI-Nutzer Rücksicht zu nehmen.
Und selbst wenn es im Browser angreifbarer ist als in ordentlichen Lösungen ist es immer noch ein gewaltiger Fortschritt gegenüber dem aktuellen Zustand.
 
@Johnny Cache: Nein, ist es nicht. Noch mal langsam für dich zum Mitschreiben: Yahoo und Google sind beides US-amerikanische Unternehmen, denen seitens verschiedner staatlicher Stellen, wie u.a. der NSA, zwingend Zugriffsmöglichkeiten, Schnittstellen etc. vorgeschrieben werden können. Eine vollständig webbasierte Verschlüsselungsmöglichkeit setzt eben auch zwingend den privaten PGP-Key voraus, da sonst empfangene Emails nicht verschlüsselt werden können. Das einzige, was du also schaffst, wenn du ein solches System stützt, ist keine Sicherheit, sondern du lieferst *alle* privaten PGP-Keys frei Haus an (z.B.) die NSA und alle "Ringtausch"-Dienste. Grandioser Plan.
 
@LostSoul: Was heißt da *alle* privaten Keys? Bloß weil andere ein vergleichsweise einfach angreifbares System verwenden ändert das ja nichts an meinen Sicherheitsvorkehrungen.
Klar, die Mails könnten dann logischerweise auf deren Seite entschlüsselt werden, aber auch das wäre immer noch deutlich besser als komplett im Klartext übertragene Mails die wirklich jeder lesen kann.
 
@Sam Fisher: Also wenn ich die Technik richtig verstanden habe, liegt der private Key im Browser und wird nicht an die Seite weitergegeben (also auch nicht per XSS abgreifbar). Die Seite kann dann einfach sagen: "Verschlüssel mal" und gut ist.
Das ist eine komplett neue Sache, daher ist es auch erstmal auf Chrome beschränkt, da Google das implementiert. Ein Browserzertifikat (wie man es bei einigen Seiten zum Autentifizieren nutzt, z.B. startssl.com) kann man ja auch nicht per XSS abgreifen.
Gefahren sind also, dass dir gefälschte öffentliche Schlüssel untergeschoben werden oder die Anwendung (der Browser) kompromentiert ist. Das möchte ich auch beides nicht ausschließen, aber das Probelm hast du auch bei klassischen Implementationen.
 
US-Firmen - Verschlüsselung - Sicherheit

Wer findet die 3 Fehler?
 
@LastFrontier: Du hast vergessen das aktuelle US-Urteil zu erwähnen. http://www.heise.de/newsticker/meldung/Kommentar-Wie-die-USA-ihre-IT-Wirtschaft-zerstoeren-2283109.html
 
@LastFrontier: Per se ist das kein Fehler. Die Frage ist nur, in welchem Kontext man das bewertet. In Bezug auf die Fragestellung, wie sinnvoll es für den hier dargestellten Fall ist, habe ich unter o5re1re1 etwas geschrieben. Das bedeutet aber nicht, dass US-Firmen per se nichts mit Verschlüsselung zu tun haben oder jedenfalls unsicher sind. Vielleicht sollte man mal aufhören, aus blindem und ziemlich dämlichen Populismus heraus, einfach alles in einen Topf zu werfen - damit schadet man nämlich zunächst einer sinnvollen und kritischen Auseinandersetzung und damit in der Folge auch seinem eigenen Ziel - natürlich ist es dafür auch "anstrengender" und man heimst vielleicht keine "+"-Bewertungen ein und muss sich hier und da mal einen "ach so tollen und lustigen Spruch" ersparen.
 
@LostSoul: Da brauchst du nicht irgendeinen Kontext.
Solange US-Geheimdienste willkürlich alles aushebeln können (noch dazu im geheimen und ohne Gerichte) sind Dienste aus den USA ein NoGo.
Da können die Firmen beteuern was sie wollen - wenn die NSA sagt die Katze ist grün, dann ist sie das auch.
Eine paranoide US-Regierung versucht krampfhaft alles und jeden zu überwachen und tritt dabei alle Werte und Rechte mit den Füssen.
Wundert mich nicht dass die von allen Seiten Gegenwind bekommen.
Können sich bald in USG umbenennen - United States of Guantanamo.
 
@LastFrontier: Ich weiß nicht was du hast, Snowden darf doch nun offiziell 3 Jahre in Sicherheit bleiben, darf nun Besuch(er) empfangen, da kann er denen doch mal auf die Sprünge helfen, wie mans richtig macht ? *fg
 
@DerTigga: Na dass Snwoden in Russland bleiben darf ist auch nur ein psychologischer Nutzen für Russland und seine Propaganda.
Gäbe es einen russischen Snowden sässe der jetzt in den USA und wäre ein Held.
 
Diejenigen, die jetzt erst unter PGP mit Yahoo verwenden werden, haben doch ehrlich gesagt nur geringen technischen Sachverstand und haben wohl nichts schützenswertes zu verschicken. Solche Yahoo-PGP-Nutzer würden wohl auch ohne zu zögern ihren privaten Key in einer Eingabemaske eingeben, wenn dies auf einer Phishingseite verlangt wird. Schon seit einer Ewigkeit gibt es für z.B. Thunderbird Erweiterungen wie Enigmail die die Verwendung von PGP ermöglichen. Und Anleitungen dazu gibt es im Netz en Masse. Also wer da bisher auf Yahoo gewartet hat der.........ich sags lieber nicht. Das Problem sitzt halt immer vorm PC.
 
@Seth6699: Was für eine unsinnige Argumentation. Wer es nicht besser weiß, muss es auch in Zukunft nicht wissen? Das Problem sind Leute wie Du. Du besitzt die absolute Weisheit, und sagst den anderen, daß sie nichts wissen. Beschwerst dich darüber und gleichzeitig soll sich daran nichts ändern. Bist wohl mit der Muttermilch schon zum Profi geworden?
 
@wolftarkin: Wenn du mich ohne wirklich Fakten angreifst, dann scheint dich mein Post ja persönlich getroffen zu haben. Aber um mal wieder sachlicher zu werden: Wer braucht PGP via Yahoo, wenn er/sie sich bisher nicht dazu überwinden konnte ihre Mails mittels anderer Tolls zu verschlüsseln? Wie ich schon sagte: Wer seine Mails bisher noch nie verschlüsselt hatte (gehören ja auch immer 2 dazu), der hatte es anscheinend auch nicht wirklich nötig. Und ja, wer jetzt bei Yahoo-PGP aufschreit und sagt "Hey, das würde ich nutzen", dem würde ich einen geringen technischen Sachverstand unterstellen, denn meine Begründung hierfür ist, dass diese Person dann vorher wohl noch nie etwas von PGP gehört hatte. Aber Entschuldigung das ich dich unterbrochen habe.....jetzt kannst du mich wieder sinnlos beleidigen und angreifen, weil du dich ja persönlich betroffen fühlst.
 
@Seth6699: Apropos betroffen, wenn du dich beleidigt fühlst... du machst genau so weiter und kapierst es nicht. Man weiß es nicht besser, jemand will es weiter verbreiten. Und was sagst du? Ihr seid doof, wisst es nicht besser, also lasst es?
Ich kapier deine Einstellung nicht.
 
@wolftarkin: Und du versteht mich nicht. Wenn jemand seine Nachrichten verschlüsseln möchte (aktive Handlung), dann hätte diese Person das doch bestimmt schon gemacht. Ein paar Suchbegriffe in eine Suchmaschine einzugeben traue ich jedem Menschen zu. Glaubst du Yahoo kommt dann zu den Menschen an die Haustür und klingelt bei denen höchstpersönlich? Und selbst dann sollte man als Nutzer ein wenig sich mit den Grundsätzen von PGP beschäftigen (selbst als Laie), wenn man es nutzt. Das schützt sehr davor, dass man Daten herausgibt, die man nicht herausgeben sollte.
 
Finds gut das endlich mal Firmen lernen zusammen zu Arbeiten! bis vor Kurzem war es so das jeder sein eigenes Süppchen gekocht hat!
 
Wer nicht bis dahin warten will und jetzt schon mit PGP verschlüsselt E-Mails von jedem E-Mail Konto aus versenden will, dem kann ich folgende Anleitung zur Einrichtung von GnuPG, einer freien PGP-Implementierung, empfehlen:

https://emailselfdefense.fsf.org/de/
Kommentar abgeben Netiquette beachten!

Yahoos Aktienkurs in Euro

Yahoos Aktienkurs -1 Jahr
Zeitraum: 1 Jahr