1 puan yazan GN⁺ 2023-07-09 | 1 yorum | WhatsApp'ta paylaş
  • ProtonMail Android uygulamasında, yazıldıktan hemen sonra gönderilen e-postaların yalnızca bir kısmını gönderme sorunu ortaya çıkınca kullanıcı, bunu aşmak için Proton Bridge ile başka bir e-posta istemcisi bağladı
  • Bridge'i NAS üzerindeki bir VM'de çalıştırıp rinetd ve Tailscale ile IMAP/SMTP erişimini açarak Android'de FairEmail, Linux'ta Claws üzerinden aynı hesabı kullandı
  • FairEmail+OpenKeyring ve Claws'ta PGP/MIME imzası ayarladı, ancak test e-postaları iki istemcide de imzalı e-posta olarak tanınmadı
  • Claws bakımcısı MIME yapısının bozulduğunu düşündü; Proton Bridge'in mevcut issue'ları da Proton'un otomatik PGP işlemesiyle kullanıcı imzasının çakıştığına işaret ediyordu
  • Sorunun özü, Proton'un e-postayı sessizce dönüştürmesine rağmen multipart/signed veya multipart/encrypted yapısını olduğu gibi bırakacak bir seçenek sunmaması

Android uygulama sorunu ve Proton Bridge ile geçici çözüm

  • Google'dan memnun kalmayıp birkaç yıl önce ProtonMail'e geçtikten sonra genel olarak kullanılabilir bulmuştu; ancak birkaç ay önce Android istemcisi e-posta içeriğini bozmaya başladı
    • Yazmayı bitirdikten sonra send düğmesine çok hızlı basılırsa yazılan içeriğin yalnızca bir kısmı gönderiliyordu
    • Kesin gönderim için yazdıktan sonra yaklaşık 10 saniye beklemek gerekiyordu
  • Kullanıcı, NAS üzerindeki bir VM'e Proton Bridge kurarak Proton uygulaması yerine başka istemciler kullanma yöntemine geçti
    • Proton Bridge yalnızca 127.0.0.1 üzerinde dinliyor
    • rinetd ile IMAP ve SMTP portlarına gelen bağlantılar Bridge'e yönlendirildi
    • Android e-posta istemcisini Proton hesabına bağlamak için ilgili makineye ve telefona Tailscale kuruldu
  • Android'de FairEmail, Linux'ta ise Claws kullanıldı

PGP/MIME imzasının bozulma süreci

  • Daha sonra giden mesajlara PGP imzası eklemek için istemci ayarları eklendi
    • Yalnızca imzalama amaçlı alt anahtar Android cihaza dışa aktarıldı
    • FairEmail+OpenKeyring yapılandırıldı
    • Linux'taki Claws da PGP/MIME için ayarlandı
  • Kendisine gönderdiği test mesajı Claws ve FairEmail tarafından imzalı e-posta olarak tanınmadı
    • PGP inline'a geçildiğinde çalışıyordu
    • Claws bakımcısı MIME yapısının bozulduğunu söyledi
    • Bakımcının gönderdiği imzalı e-posta Claws'ta normal şekilde doğrulandı
  • Proton'un giden PGP imzalarını baştan beri bozduğuna dair ilgili örnekler olarak proton-bridge issue #26 ve issue #320 gösterildi
  • Proton tarafında gözlenen davranış şöyle özetlendi
    • Normal bir e-posta Proton üzerinden başka bir Proton istemcisine gönderildiğinde Proton otomatik olarak PGP imzalama ve şifreleme yapıyor
    • Bu otomatik imzalama/şifreleme, kullanıcının kendi uyguladığı imzayla birlikte var olamıyor
    • Sonuçta kullanıcının uyguladığı imza bozuluyor
  • Kullanıcı, Proton'a multipart/signed veya multipart/encrypted mesajları olduğu gibi bırakmasını söyleyen bir seçenek olmamasını temel şikâyet olarak görüyor
  • PGP'nin yaygın kullanılmadığını kabul etse de, Proton'un e-postaları sessizce dönüştürdüğünü ve kullanıcı şikâyetlerine karşı “biz daha iyi biliriz” tavrı sergilediğini düşünüp başka bir e-posta barındırıcısını değerlendirmeye alıyor

1 yorum

 
GN⁺ 2023-07-09
Hacker News görüşleri
  • Sadece başlığı görüp ProtonMail’i bırakmayı düşünenler için, burada “e-postayı yeniden yazıyor” denmesi daha çok ProtonMail’in otomatik imza ve şifreleme sistemini tasarlama biçimi nedeniyle kullanıcının uyguladığı PGP imzalarını desteklemediği anlamına geliyor
    Bu, sıradan bir kullanıcının düşünebileceği anlamda giden e-postanın gövdesini kafasına göre değiştirip yeniden yazdığı anlamına gelmiyor
    E-postaları imzalamayan veya imzaları doğrulamayan %99,9’luk kesimdenseniz pratikte büyük bir sorun olmayabilir, ama yine de Proton’un bu meseleye verdiği tepki şaka gibi görünüyor
    https://github.com/ProtonMail/proton-bridge/issues/26

    • Asıl mesele güvenin zedelenmesi
      PGP gibi temel bir şeyi bile düzgün ele alamıyorsa yazılımın diğer kısımlarına nasıl güvenelim, özellikle de kendini “Privacy-first” bir şirket olarak tanımlıyorken
      Bugünlerde “Privacy” giderek sadece bir pazarlama terimi gibi duruyor
    • Sonuçta ne kadar uzun yazarsanız yazın aynı yere çıkıyor: özel anahtarınızı sunucuya yüklemeniz gerekecek ve sizden bunu kabullenmeniz bekleniyor gibi geliyor
  • “mime kodlamalı bir parça varsa ProtonMail’in tüm düz metin e-postaları atmasıyla ilgili gibi görünüyor”
    https://github.com/ProtonMail/proton-bridge/issues/26#issuec...
    Hatta HTML gibi mime kodlamalı bir parça varsa düz metin parçasını attığını öğrenmek daha da sarsıcı
    Kontrol ettim; GMail’den alınan e-postalarla ProtonMail’de yeni alınan e-postalarda artık sadece HTML parçası kalmış, oysa GMail’in orijinal gösteriminde hem HTML hem de düz metin parçası görünüyor
    Bu da demek oluyor ki sonradan sadece metin kullanan bir istemciyle okumak isteseniz okuyamazsınız; üstelik depolama alanından da tasarruf edilmiyor, buna rağmen bunu bozmanın kabul edilebilir olduğunu nasıl düşündüler anlamıyorum
    Depolama alanının parasını ben ödüyorum

    • Office365 de tam olarak aynısını yapıyor
      Büyük sağlayıcıların bakışına göre bir e-posta sistemlerine girdiği anda artık eski anlamıyla bir e-posta değil, onların nesnesi haline geliyor gibi
      Şu anda birazını iyi niyetle yeniden oluşturmaları bile söz konusu olabilir
    • Tahminimce bunda enshittification kokusu var
      Ürünü daha kötü hale getirirken bir yerlerde maliyet düşürüyorlar ve yeterince çok müşterinin bunu fark etmemesini umuyorlar gibi görünüyor
  • İnsanlar şikâyet ettiğinde “biz daha iyi biliyoruz” tavrındaki ukalalığın sevilmediğini açıkça söylemelerine sevindim
    Bana bir şeyi yanlış tuttuğumu anlatmak yerine, en azından ürünün sınırları yüzünden istediğim şeyi yapamadığımı kabul edip bunun değiştirilebilir olup olmadığına bakmaları gerekir

    • “opinionated” olmakla övünen yazılım araçlarından kaçınır oldum
      Genelde bunun anlamı ya bizim yöntemimizle kullan ya da git oluyor
    • “Yanlış tuttuğumu söylüyorlar” derken bunu tam olarak nerede yapıyorlar?
    • Mobilde WKD otomatik arama ve gönderim için yaptığım bildirimin üzerinden 5 yıl geçti, hâlâ desteklemiyorlar
      Oldukça saçma
  • ProtonMail gerçekten berbat
    Böyle bir başlık her açıldığında, iş için ProtonMail kullanmaya çalışırken yaşadıklarımı paylaşasım geliyor
    ProtonMail, e-posta hesabı aktif olsun olmasın her hesap için ücret alıyordu; bir çalışan ayrıldığında adresi devre dışı bırakıp e-posta geçmişini saklamak istiyordum
    Ama ProtonMail’den e-posta dışa aktarmak mühendis gerektirecek kadar zordu
    Bu yüzden “e-posta adresini kalıcı olarak devre dışı bırakıp artık ücretlendirmeyi durduran bir özellik ekleyebilir misiniz?” diye sordum, bana tipik ProtonMail tarzı kaçamak bir yanıt verdiler
    Arama özelliği de basit bir kısmi alt dize aramasından bile kötüydü; profesyonel kullanımda birkaç yıl geçince eski konuşmaları bulmanız gereken zamanlar oluyor
    Sonunda hesabı iptal ettim ve privacy.com kartını kapattım
    Bir yıl sonra, kapatılmış karta hâlâ her ay ücret yansıtıldığını görünce eski hesaba giriş yapmaya çalıştım ama parola yöneticisinde kayıtlı şifre çalışmadı
    Bir hata var gibi göründüğünü yazdım, destek görevlisi bir süre benimle didiştikten sonra ödemeleri durdurmak için kredi kartı bilgilerimi vermemi istedi
    Kartı zaten bir yıl önce kapatmıştım, dolayısıyla o bilgiler elimde yoktu ve o noktada yanıt vermeyi bıraktım
    Makul sorular soran ücretli müşterilere düşmanca davranan insanlara gizliliğimi emanet etmek bana büyük bir tehlike işareti gibi geliyor

    • Hayal kırıklığını anlıyorum ama iş kullanım örneği Proton’un yaratılış amacına pek uymuyor gibi görünüyor
      Proton daha çok alıcılar arasındaki konuşmaları tamamen özel tutmaya odaklanan bir hizmet ve ayrılan bir çalışanın e-postalarına hâlâ erişilebilmesi bana daha da şaşırtıcı geliyor
    • Uzun zamandır Proton VPN kullanıyorum ve Gmail’den Proton Mail’e geçmeyi düşünüyordum ama bu pek iyi bir fikir olmayabilir gibi
      Kişisel kullanım için ne önerirsiniz?
    • Ukalaca duyulmak istemem ama yazılım taşta yazılı değildir
      Şu anda durum nasıl? ProtonMail’in Import-Export uygulamasını kullandınız mı ve mevcut aramayı yeniden denediniz mi?
  • Android istemcisinde çok hızlı şekilde “gönder”e basınca yazdıklarımın yalnızca bir kısmının gönderilmesine yol açan hatayı sadece benim yaşamamış olmam şok edici
    Doktoruma ve finans danışmanıma gönderdiğim e-postalar birkaç kez bu şekilde kesildi; ben de tüm içeriği yazdığımdan emin olduğum için, kanser tedavisi için kullandığım ilacın kısa süreli halüsinasyonlar gibi bir etki yapıp yapmadığından ciddi ciddi şüphe etmiştim

    • Posta ürün lideriyim; bazı kullanıcıları etkileyen bu özel sorunun farkındayız ve düzeltme üzerinde çalışıyoruz
      Aslında Android uygulamasını baştan yazıyoruz; böylece daha kararlı ve kullanımı daha kolay olacak, yıl sonuna doğru da çıkacak
      O zamana kadar Android Proton Mail uygulamasında tekrarlayan gönderim sorunları yaşarsanız, herhangi bir cihazdan web uygulamasını (https://mail.proton.me) kullanabilirsiniz
    • Bunu hâlâ düzeltmemiş olmaları üzücü
      E-postayı düzgün gönderemeyen bir e-posta hizmetinin ne anlamı var?
      Bu hatayı önemli bir anda yaşadım; alıcının boş e-postayı haber vermek yerine görmezden gelmiş olabileceğini düşünmeden edemiyorum
    • Teknoloji ters gittiğinde ruh sağlığımızdan şüphe edecek kadar ona bağımlı olmamız biraz ürkütücü
    • Ben de bu sorun yüzünden çok kötü şeyler yaşadım
      Şimdi IMAP/SMTP’yi düzgün yapan ve GPG’yi işleyebilen gerçek bir e-posta istemcisi kullanabileceğim, daha güvenilir bir sağlayıcı arıyorum
    • Açıkça gönder’e basmış olmama rağmen e-postanın gönderilmediği de oldu
      Bu tür şeyler uygulama geliştirmede bir gerileme ve hata; belki de Proton için harika ürünler yapmak fazla ilgi çekici değildir
  • Apple’ın PGP sürecini akıcı hâle getirmeyi hâlâ denememiş olması şaşırtıcı
    Cihazda anahtar oluşturup bunu iCloud ile senkronize etmeyi ve ardından açık anahtarı yayımlamayı hayal etmiştim
    Apple gizliliği bu kadar öne çıkarırken Gmail, Outlook gibi yerlerin de yerel PGP’yi benimsemesini umuyordum ama galiba sadece bir temenniymiş

    • PGP ve e-postada o kadar çok kullanım senaryosu sorunu var ki, ciddi güvenlik uzmanlarının çoğu PGP’yi özellikle kullanmıyor
      Niş ve meraklı kullanıcı alanına itildi; sorunları o kadar fazla ki, Signal gibi en baştan şifreleme düşünülerek tasarlanmış alternatif mesajlaşma platformlarını kullanmak daha mantıklı
      Örneğin şifreli bir e-posta gönderdiniz diyelim; alıcı bunu iletirse ne olacak?
      Alıcı yanıt verdiğinde özgün e-posta şifreli hâliyle mi eklenecek, yoksa çözülmüş hâliyle mi? Genelde ikincisi olur; böylece aynı düz metin iki mesajda birden bulunur
      Birden çok kişiye e-posta gönderdiğinizde, her alıcı için ayrı şifrelemeyi kim yapacak?
      Alıcıların sadece bir kısmı şifrelemeyi destekliyorsa, zaten bazılarına düz metin gidiyorken şifrelemenin ne anlamı kalıyor?
      Katılımcıları bilinmeyen bir posta listesine gönderirken ne yapılacak?
      Standart olarak ne şifrelenmeli? Yalnızca gövde mi? E-posta başlığı olan konu satırı mı? Diğer başlıklar mı?
      Sadece imza isteseniz bile standart olarak ne imzalanacak? Sohbet içindeki metin çeşitli dönüşümlerden geçerken bu imza nasıl ayakta kalacak?
    • Apple olsaydı, şifreli e-postayı çalıştırmak için tamamen yeni bir posta protokolü yaratabilirdi
      Kullanıcı alıcı adresini yazar, sunucu bu adresi doğrular, posta sunucusundan şifreleme anahtarını ister, posta sunucusu anahtarı gönderir ve kullanıcı e-postayı yazmaya devam eder gibi bir şey olurdu
      UDP tabanlı HTTPS hissi veriyor
    • Apple gizlilik ve güvenlik konusunda oldukça ciddi; PGP ise bu yelpazede “ciddiyet”ten çok göstermelik güvenliğe daha yakın duruyor
    • Bunu kimsenin yapacağını sanmıyorum
      Şifreli e-posta düzgün çalışmıyor
      https://latacora.micro.blog/2020/02/19/stop-using-encrypted....
    • Google, kurumsal kullanım için istemci tarafı şifreleme sunuyor ama PGP değil, S/MIME kullanıyor
      https://support.google.com/a/answer/10741897
      https://security.googleblog.com/2023/06/gmail-client-side-en...
  • E-posta şirketi özel anahtarı elinde tutuyorsa, PGP’nin ne anlamı var?
    Geriye yalnızca e-postanın ağ üzerinden iletimi sırasındaki güvenlik ve imza doğrulaması mı kalıyor?
    Özel anahtar paylaşımı, sır saklama yöntemi olarak tuhaf

    • Bir arkadaşım uzaktaydı ve dosyaya doğrudan sahip olmadığı için şifreli .gpg dosyalarını göndermemi istedi
      Ama bunların bazılarında indirme sorunu yaşandı
      Test edip hata bildirdikten sonra ProtonMail, eklerin kullanıcı adres anahtarıyla şifrelendiğini varsayıp çözmeye çalıştığını söyledi
      Özgün dosya adını kurtarıp yeniden oluştururken .gpg uzantısının kaldırıldığını da belirttiler
      En şaşırtıcı olanı ise ProtonMail’in geçici çözüm olarak, ekin açık anahtarına karşılık gelen özel anahtarın getirilmesini önermesiydi; arkadaşım bunu kabul etmedi
    • Proton, özel anahtarın düz hâline sahip değil
      Kullanıcı parolasıyla şifrelenmiş özel anahtarı saklıyorlar ve o parolayı da bilmiyorlar
  • 2 yıllık bir issue bile var
    https://github.com/ProtonMail/proton-bridge/issues/180
    Proton, açık kaynak yazılım geliştiricilerinin yama göndermesini zorlaştırıyor ve umursamıyor
    https://git-send-email.io/#step-2
    Orada ayrıca şu ifade de yer alıyor: “Protonmail genel olarak oldukça kötü bir e-posta barındırıcısı olarak bilinir. Giden e-postaları bozarak yamaların karşı tarafta uygulanamamasına yol açabilir. Açık kaynağa kötü muamele etmesini ve güvenlik konusunda verdiği boş vaatleri saymıyorum bile. Başka bir e-posta sağlayıcısını düşünmelisiniz”
    Bir hafta içinde gemiyi terk edip tam para iadesi alabilmiş olmam iyi oldu

  • Güvenlikten şikâyet eden bir yazı paylaşırken http bağlantısı gönderdiğimi fark etmenin ironisi var

    • Daha da kötüsü, jfloren.net HSTS preload listesinde değil
    • Anonim erişime izin veren bir blog yazısı; hangi protokolün kullanıldığının ne önemi var ki?
  • NAS üzerindeki bir sanal makinede Proton Bridge kurup, yalnızca 127.0.0.1'i dinleyen bridge'e gelen IMAP/SMTP port bağlantılarını rinetd ile yönlendirmek ve o kutuyla telefonda tailscale ayarlayarak Android e-posta istemcisi (tercihen FairEmail) ve Linux'ta Claws üzerinden Proton hesabına erişmek şeklindeki yapılandırma, self-hosting karmaşıklığının önemli bir kısmına oldukça benziyor

    • Burada e-posta her gündeme geldiğinde, self-hosting'e aşina kişiler Gmail'in postalarını spam olarak işaretlememesini sağlamanın neredeyse imkansız olduğunu söylüyor
      Bunu doğrudan bilmiyorum ama tekrar tekrar gündeme gelen bir konu