Perfect Privacy übernimmt Secure-Mail.biz

Ghost

Active Member
Da können wir uns jetzt zu Tode schreiben.
In Sachen Verschlüsselung gebe ich dir vollkommen recht. Eine End zu End Verschlüsselung ist nicht zu toppen.

Aber es gibt ja noch mehr Sachen, die der Beachtung wert sind.

z.B:
Anonyme Anmeldung
Verschlüsselte Festplatte
n
Anonyme Bezahlung
Keine IP Speicherung
Header Bearbeitung......
 

PP Frank

Staff member
Gibt bei Mail eigentlich eine ganze Menge was man besser machen kann... Aber gut. Wir arbeiten dran und gut. Aber wie man heute auch gesehn hat, hat PP für uns natürlich Priorität.
 
Ich finde die Sache mit dem eigenen Emaildienst super. Das wertet euren Dienst sehr stark auf, denn sowas haben nur die wenigsten. Ich würde dafür auch zahlen, wenn die Gegenleistung stimmt. Kein Problem. Wer ordentliche Arbeit abliefert hat auch das Recht was zu verlangen.
Aber auch die SHA1 Sache gehört meiner Ansicht nach geregelt. Alles was der Sicherheit dient, bzw sie erhöht, sollte auch angewendet werden. Und neue Configs runterzuladen, kann man wirklich von JEDEM User verlangen. Ihr könnt es ja früh genug in grosser Schrift auf euerer Website und in Foren ankündigen.
 

PP Frank

Staff member
Mit der Website oder Forum haut nich hin. Gucken einfach zu wenige Leute drauf. Wir müssten gucken das wir da mal einen Newsletter via Mail hinbekommen. Was wir aber bisher gar nicht haben.
 

JackCarver

Well-known Member
Wenn's einem wichtig ist, dann sollte das ja wohl kein so großes Problem sein. Was kann denn im schlimmsten Fall passieren? N User kann sich nicht mehr per VPN anmelden und was wird der dann machen? Wahrscheinlich auf eure Website gucken wo er sehen würde, dass die Zertifikate zur Verbesserung der Sicherheit erneuert wurden...und ich schätze mal dass euch niemand den bisschen Aufwand im Zuge der verbesserten Sicherheit übel nehmen wird. Versteh das jetzt nicht falsch aber sollte nicht sowas in jedem Fall vor einem neuen Projekt stattfinden, da es ja schließlich euer Kernprojekt betrifft? Ihr steckt ohne Ende Arbeit in etwas das es bereits mannigfaltig gibt, wie nen VPN Client und den müssen die User ja letztlich auch runterladen um ihn nutzen zu können, das ist nix anderes.
 

JackCarver

Well-known Member
Dasselbe könnte ich dich auch fragen :) Ist auch letztlich Ansichtssache, ich bin der eben dass die Sicherheit vorgehen sollte und dass ihr in der ganzen Zeit des PP Clients anpassen die Zerts dreimal geändert hättet und dass da kein User sauer gewesen wäre und du siehst den Schwerpunkt eben anders. Aber wie gesagt jeder sieht das eben auf seine Weise
 

PP Frank

Staff member
Aber Jack: Ich habe dir jetzt auch drei oder 4 mal gesagt, das PP natürlich vorrang vor der Mailgeschichte hat. Ich habe hier auch kund getan, dass wir uns ernsthaft wegen der HMAC-Geschichte Gedanken machen. ABER: PP muss auch angenehm benutzbar sein und wenn wieder so wie im September der Leute Client nicht geht, weil deren Configs Alt sind, dann gibt das wieder einen haufen Ärger. Da hängt eben auch mal ein wenig mehr dran, was Otto-Normal-PP-Anwender nicht sieht. Ist einfach so.

Und wenn ich dir sage, das es Murks ist nur eine Ankündigung zu schreiben auf der Website und wir da besser einen Newsletter zusammenschrauben, dann weis ich nicht was da so negativ ist. Der Newsletter soll dann ja alle informieren über "Hey, guck ma, brauchst neue Configs und klick dann und dann mal im Clienten auf "Update"".

UND: Wenn wir uns dann auch noch überlegen das das Stress für die Nutzer bedeutet die Configs zu laden, das wir das dann alles was neue Configs bedeuten würden in einem Abwasch machen, dann ist das doch verständlich.

Nur weil wir an Sec-Mail basteln und da was ordentliches machen wollen, heisst das nicht das wir PP vernachlässigen. Wir vernachlässigen auch nicht die Sicherheit. Aber wir müssen schon ein wenig weiter denken. Das mit HMAC ist ja jetzt nichts was kritisch ist und da sollte man das einfach ordentlich machen. Wenn es kritisch wäre, hättest du letzte Woche schon die neuen Configs ziehen müssen. Deswegen: Wir setzen keinen anderen Schwerpunkt als du, nur wir müssen vernünftig an die Sache ran gehn.

Mal zur Info: Nicht einmal 10 Prozent der Mitglieder guckt regelmäßig ins Forum oder auf die Seite.
 

Inkognito

Active Member
PP Frank;n5105 said:
Mal zur Info: Nicht einmal 10 Prozent der Mitglieder guckt regelmäßig ins Forum oder auf die Seite.

Wie kommt ihr auf die Schätzung?

Wird ,wenn man bei euch auf der Webseite mittels Zugangsdaten eingeloggt ist, eine Verbindung zu eurem Forum analysiert/protokolliert?
 

PP Frank

Staff member
Nein wird es nicht. Das ist einfach Supportaufkommen, wenn Änderungen sind. Erfahrungswert so zu sagen. Gerade beim letzten Config-Wechsel wurde einem das klar.
 

speedylein

Active Member
wieder weg ??????

Der Server unter secure-mail.biz braucht zu lange, um eine Antwort zu senden.

Die Website könnte vorübergehend nicht erreichbar sein, versuchen Sie es bitte später nochmals.
Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung.
Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher, dass Firefox auf das Internet zugreifen
darf.
 

PP Frank

Staff member
Jup. DDOS. Unser neues System steht noch nicht. Wir wollten PP auch drüber anbinden. Da gabs aber noch paar Sachen die getestet werden müssen.

Sollte gleich wieder gehn
 

quaduxe

Member
Hallo, folgende Frage: Warum wurde durch PP die Server Konfiguration dahingehend geändert das kein TLS 1.2 bzw. PFS mehr unterstützt wird? Der vorherige Administrator war da anscheinend weitaus besser informiert. Die derzeitige Konfiguration ermöglich das nachträgliche Entschlüsseln einer aufgezeichneten Datenverbindung. Ich bin Bezahlkunde, daher erwarte ich ein angemessenes Schutzniveau. Der Support ignoriert ja solche Anfragen, daher bin ich hier an der Quelle sicherlich richtig. mfg
 

PP Frank

Staff member
Das ist falsch. Wir haben die Server so übernommen und PFS gab es vorher auch schon nicht. Wir werden auch wie gesagt an dieser Plattform nichts gross ändern, sondern in einigen Monaten eine neue Plattform zur Verfügung stellen.

Auch die 2. Aussage ist falsch, denn ich habe bisher jede Mailanfrage beantwortet die ich bekommen habe. Prüfe mal deine Spamfolder, eventuell ist die Mail von mir dort rein gerutscht.

Der vorherige Administrator war da anscheinend weitaus besser informiert.

Ich glaube nicht ;)
 

quaduxe

Member
Hallo,

danke für die Antwort, ich kann gerne einige Kopien der Ergebnisse der SSL Konfiguration Tests der letzten Monate des secure-mail.biz Web/Mail Server bereitstellen, dieser unterstützte in der Tat TLS 1.2 AES 128 bit im GCM Modus. Aktuell sieht eure Konfiguration mehr als schlecht aus: https://www.ssllabs.com/ssltest/analyze.html?d=secure-mail.biz&s=93.114.45.249 Wenn ihr den Dienst doch überarbeiten wollt dann schaltet ihn solange ab. Denn mit dieser Konfiguration ist keine sichere Nutzung des Mail Dienstes möglich. Betrachtet das jetzt nicht als Bösartigkeit meinerseits, meine Bedenken sind doch so denke ich nachvollziehbar. Eine Umstellung am Server hinsichtlich der Chiper-Suites ist in einigen Minuten geregelt. Diese Zeit solltet ihr investieren.
 

derrrp

Member
quaduxe;n6146 said:
Hallo, folgende Frage: Warum wurde durch PP die Server Konfiguration dahingehend geändert das kein TLS 1.2 bzw. PFS mehr unterstützt wird?
Wasch laberscht du? Hascht du überhaupt gelernt?

Wie wäre es, wenn du deine openssl-Version mal abcheckst?

Wenn du dir die .ovpn-Files anschaust und dir die Ciphersuites rauspickst,
Code:
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
wirst du sehen [1], dass da durchaus TLS 1.2 dabei ist.



[1] https://wiki.mozilla.org/Talk:Security/Server_Side_TLS
 
Top