ProtonMail e-postayı yeniden yazıyor
(jfloren.net)- ProtonMail Android uygulamasında, yazıldıktan hemen sonra gönderilen e-postaların yalnızca bir kısmını gönderme sorunu ortaya çıkınca kullanıcı, bunu aşmak için Proton Bridge ile başka bir e-posta istemcisi bağladı
- Bridge'i NAS üzerindeki bir VM'de çalıştırıp rinetd ve Tailscale ile IMAP/SMTP erişimini açarak Android'de FairEmail, Linux'ta Claws üzerinden aynı hesabı kullandı
- FairEmail+OpenKeyring ve Claws'ta PGP/MIME imzası ayarladı, ancak test e-postaları iki istemcide de imzalı e-posta olarak tanınmadı
- Claws bakımcısı MIME yapısının bozulduğunu düşündü; Proton Bridge'in mevcut issue'ları da Proton'un otomatik PGP işlemesiyle kullanıcı imzasının çakıştığına işaret ediyordu
- Sorunun özü, Proton'un e-postayı sessizce dönüştürmesine rağmen
multipart/signedveyamultipart/encryptedyapısını olduğu gibi bırakacak bir seçenek sunmaması
Android uygulama sorunu ve Proton Bridge ile geçici çözüm
- Google'dan memnun kalmayıp birkaç yıl önce ProtonMail'e geçtikten sonra genel olarak kullanılabilir bulmuştu; ancak birkaç ay önce Android istemcisi e-posta içeriğini bozmaya başladı
- Yazmayı bitirdikten sonra
senddüğmesine çok hızlı basılırsa yazılan içeriğin yalnızca bir kısmı gönderiliyordu - Kesin gönderim için yazdıktan sonra yaklaşık 10 saniye beklemek gerekiyordu
- Yazmayı bitirdikten sonra
- Kullanıcı, NAS üzerindeki bir VM'e Proton Bridge kurarak Proton uygulaması yerine başka istemciler kullanma yöntemine geçti
- Proton Bridge yalnızca
127.0.0.1üzerinde dinliyor - rinetd ile IMAP ve SMTP portlarına gelen bağlantılar Bridge'e yönlendirildi
- Android e-posta istemcisini Proton hesabına bağlamak için ilgili makineye ve telefona Tailscale kuruldu
- Proton Bridge yalnızca
- Android'de FairEmail, Linux'ta ise Claws kullanıldı
PGP/MIME imzasının bozulma süreci
- Daha sonra giden mesajlara PGP imzası eklemek için istemci ayarları eklendi
- Yalnızca imzalama amaçlı alt anahtar Android cihaza dışa aktarıldı
- FairEmail+OpenKeyring yapılandırıldı
- Linux'taki Claws da PGP/MIME için ayarlandı
- Kendisine gönderdiği test mesajı Claws ve FairEmail tarafından imzalı e-posta olarak tanınmadı
- PGP inline'a geçildiğinde çalışıyordu
- Claws bakımcısı MIME yapısının bozulduğunu söyledi
- Bakımcının gönderdiği imzalı e-posta Claws'ta normal şekilde doğrulandı
- Proton'un giden PGP imzalarını baştan beri bozduğuna dair ilgili örnekler olarak proton-bridge issue #26 ve issue #320 gösterildi
- Proton tarafında gözlenen davranış şöyle özetlendi
- Normal bir e-posta Proton üzerinden başka bir Proton istemcisine gönderildiğinde Proton otomatik olarak PGP imzalama ve şifreleme yapıyor
- Bu otomatik imzalama/şifreleme, kullanıcının kendi uyguladığı imzayla birlikte var olamıyor
- Sonuçta kullanıcının uyguladığı imza bozuluyor
- Kullanıcı, Proton'a
multipart/signedveyamultipart/encryptedmesajları olduğu gibi bırakmasını söyleyen bir seçenek olmamasını temel şikâyet olarak görüyor - PGP'nin yaygın kullanılmadığını kabul etse de, Proton'un e-postaları sessizce dönüştürdüğünü ve kullanıcı şikâyetlerine karşı “biz daha iyi biliriz” tavrı sergilediğini düşünüp başka bir e-posta barındırıcısını değerlendirmeye alıyor
1 yorum
Hacker News görüşleri
Sadece başlığı görüp ProtonMail’i bırakmayı düşünenler için, burada “e-postayı yeniden yazıyor” denmesi daha çok ProtonMail’in otomatik imza ve şifreleme sistemini tasarlama biçimi nedeniyle kullanıcının uyguladığı PGP imzalarını desteklemediği anlamına geliyor
Bu, sıradan bir kullanıcının düşünebileceği anlamda giden e-postanın gövdesini kafasına göre değiştirip yeniden yazdığı anlamına gelmiyor
E-postaları imzalamayan veya imzaları doğrulamayan %99,9’luk kesimdenseniz pratikte büyük bir sorun olmayabilir, ama yine de Proton’un bu meseleye verdiği tepki şaka gibi görünüyor
https://github.com/ProtonMail/proton-bridge/issues/26
PGP gibi temel bir şeyi bile düzgün ele alamıyorsa yazılımın diğer kısımlarına nasıl güvenelim, özellikle de kendini “Privacy-first” bir şirket olarak tanımlıyorken
Bugünlerde “Privacy” giderek sadece bir pazarlama terimi gibi duruyor
“mime kodlamalı bir parça varsa ProtonMail’in tüm düz metin e-postaları atmasıyla ilgili gibi görünüyor”
https://github.com/ProtonMail/proton-bridge/issues/26#issuec...
Hatta HTML gibi mime kodlamalı bir parça varsa düz metin parçasını attığını öğrenmek daha da sarsıcı
Kontrol ettim; GMail’den alınan e-postalarla ProtonMail’de yeni alınan e-postalarda artık sadece HTML parçası kalmış, oysa GMail’in orijinal gösteriminde hem HTML hem de düz metin parçası görünüyor
Bu da demek oluyor ki sonradan sadece metin kullanan bir istemciyle okumak isteseniz okuyamazsınız; üstelik depolama alanından da tasarruf edilmiyor, buna rağmen bunu bozmanın kabul edilebilir olduğunu nasıl düşündüler anlamıyorum
Depolama alanının parasını ben ödüyorum
Büyük sağlayıcıların bakışına göre bir e-posta sistemlerine girdiği anda artık eski anlamıyla bir e-posta değil, onların nesnesi haline geliyor gibi
Şu anda birazını iyi niyetle yeniden oluşturmaları bile söz konusu olabilir
Ürünü daha kötü hale getirirken bir yerlerde maliyet düşürüyorlar ve yeterince çok müşterinin bunu fark etmemesini umuyorlar gibi görünüyor
İnsanlar şikâyet ettiğinde “biz daha iyi biliyoruz” tavrındaki ukalalığın sevilmediğini açıkça söylemelerine sevindim
Bana bir şeyi yanlış tuttuğumu anlatmak yerine, en azından ürünün sınırları yüzünden istediğim şeyi yapamadığımı kabul edip bunun değiştirilebilir olup olmadığına bakmaları gerekir
Genelde bunun anlamı ya bizim yöntemimizle kullan ya da git oluyor
Oldukça saçma
ProtonMail gerçekten berbat
Böyle bir başlık her açıldığında, iş için ProtonMail kullanmaya çalışırken yaşadıklarımı paylaşasım geliyor
ProtonMail, e-posta hesabı aktif olsun olmasın her hesap için ücret alıyordu; bir çalışan ayrıldığında adresi devre dışı bırakıp e-posta geçmişini saklamak istiyordum
Ama ProtonMail’den e-posta dışa aktarmak mühendis gerektirecek kadar zordu
Bu yüzden “e-posta adresini kalıcı olarak devre dışı bırakıp artık ücretlendirmeyi durduran bir özellik ekleyebilir misiniz?” diye sordum, bana tipik ProtonMail tarzı kaçamak bir yanıt verdiler
Arama özelliği de basit bir kısmi alt dize aramasından bile kötüydü; profesyonel kullanımda birkaç yıl geçince eski konuşmaları bulmanız gereken zamanlar oluyor
Sonunda hesabı iptal ettim ve privacy.com kartını kapattım
Bir yıl sonra, kapatılmış karta hâlâ her ay ücret yansıtıldığını görünce eski hesaba giriş yapmaya çalıştım ama parola yöneticisinde kayıtlı şifre çalışmadı
Bir hata var gibi göründüğünü yazdım, destek görevlisi bir süre benimle didiştikten sonra ödemeleri durdurmak için kredi kartı bilgilerimi vermemi istedi
Kartı zaten bir yıl önce kapatmıştım, dolayısıyla o bilgiler elimde yoktu ve o noktada yanıt vermeyi bıraktım
Makul sorular soran ücretli müşterilere düşmanca davranan insanlara gizliliğimi emanet etmek bana büyük bir tehlike işareti gibi geliyor
Proton daha çok alıcılar arasındaki konuşmaları tamamen özel tutmaya odaklanan bir hizmet ve ayrılan bir çalışanın e-postalarına hâlâ erişilebilmesi bana daha da şaşırtıcı geliyor
Kişisel kullanım için ne önerirsiniz?
Şu anda durum nasıl? ProtonMail’in Import-Export uygulamasını kullandınız mı ve mevcut aramayı yeniden denediniz mi?
Android istemcisinde çok hızlı şekilde “gönder”e basınca yazdıklarımın yalnızca bir kısmının gönderilmesine yol açan hatayı sadece benim yaşamamış olmam şok edici
Doktoruma ve finans danışmanıma gönderdiğim e-postalar birkaç kez bu şekilde kesildi; ben de tüm içeriği yazdığımdan emin olduğum için, kanser tedavisi için kullandığım ilacın kısa süreli halüsinasyonlar gibi bir etki yapıp yapmadığından ciddi ciddi şüphe etmiştim
Aslında Android uygulamasını baştan yazıyoruz; böylece daha kararlı ve kullanımı daha kolay olacak, yıl sonuna doğru da çıkacak
O zamana kadar Android Proton Mail uygulamasında tekrarlayan gönderim sorunları yaşarsanız, herhangi bir cihazdan web uygulamasını (https://mail.proton.me) kullanabilirsiniz
E-postayı düzgün gönderemeyen bir e-posta hizmetinin ne anlamı var?
Bu hatayı önemli bir anda yaşadım; alıcının boş e-postayı haber vermek yerine görmezden gelmiş olabileceğini düşünmeden edemiyorum
Şimdi IMAP/SMTP’yi düzgün yapan ve GPG’yi işleyebilen gerçek bir e-posta istemcisi kullanabileceğim, daha güvenilir bir sağlayıcı arıyorum
Bu tür şeyler uygulama geliştirmede bir gerileme ve hata; belki de Proton için harika ürünler yapmak fazla ilgi çekici değildir
Apple’ın PGP sürecini akıcı hâle getirmeyi hâlâ denememiş olması şaşırtıcı
Cihazda anahtar oluşturup bunu iCloud ile senkronize etmeyi ve ardından açık anahtarı yayımlamayı hayal etmiştim
Apple gizliliği bu kadar öne çıkarırken Gmail, Outlook gibi yerlerin de yerel PGP’yi benimsemesini umuyordum ama galiba sadece bir temenniymiş
Niş ve meraklı kullanıcı alanına itildi; sorunları o kadar fazla ki, Signal gibi en baştan şifreleme düşünülerek tasarlanmış alternatif mesajlaşma platformlarını kullanmak daha mantıklı
Örneğin şifreli bir e-posta gönderdiniz diyelim; alıcı bunu iletirse ne olacak?
Alıcı yanıt verdiğinde özgün e-posta şifreli hâliyle mi eklenecek, yoksa çözülmüş hâliyle mi? Genelde ikincisi olur; böylece aynı düz metin iki mesajda birden bulunur
Birden çok kişiye e-posta gönderdiğinizde, her alıcı için ayrı şifrelemeyi kim yapacak?
Alıcıların sadece bir kısmı şifrelemeyi destekliyorsa, zaten bazılarına düz metin gidiyorken şifrelemenin ne anlamı kalıyor?
Katılımcıları bilinmeyen bir posta listesine gönderirken ne yapılacak?
Standart olarak ne şifrelenmeli? Yalnızca gövde mi? E-posta başlığı olan konu satırı mı? Diğer başlıklar mı?
Sadece imza isteseniz bile standart olarak ne imzalanacak? Sohbet içindeki metin çeşitli dönüşümlerden geçerken bu imza nasıl ayakta kalacak?
Kullanıcı alıcı adresini yazar, sunucu bu adresi doğrular, posta sunucusundan şifreleme anahtarını ister, posta sunucusu anahtarı gönderir ve kullanıcı e-postayı yazmaya devam eder gibi bir şey olurdu
UDP tabanlı HTTPS hissi veriyor
Şifreli e-posta düzgün çalışmıyor
https://latacora.micro.blog/2020/02/19/stop-using-encrypted....
https://support.google.com/a/answer/10741897
https://security.googleblog.com/2023/06/gmail-client-side-en...
E-posta şirketi özel anahtarı elinde tutuyorsa, PGP’nin ne anlamı var?
Geriye yalnızca e-postanın ağ üzerinden iletimi sırasındaki güvenlik ve imza doğrulaması mı kalıyor?
Özel anahtar paylaşımı, sır saklama yöntemi olarak tuhaf
Ama bunların bazılarında indirme sorunu yaşandı
Test edip hata bildirdikten sonra ProtonMail, eklerin kullanıcı adres anahtarıyla şifrelendiğini varsayıp çözmeye çalıştığını söyledi
Özgün dosya adını kurtarıp yeniden oluştururken .gpg uzantısının kaldırıldığını da belirttiler
En şaşırtıcı olanı ise ProtonMail’in geçici çözüm olarak, ekin açık anahtarına karşılık gelen özel anahtarın getirilmesini önermesiydi; arkadaşım bunu kabul etmedi
Kullanıcı parolasıyla şifrelenmiş özel anahtarı saklıyorlar ve o parolayı da bilmiyorlar
2 yıllık bir issue bile var
https://github.com/ProtonMail/proton-bridge/issues/180
Proton, açık kaynak yazılım geliştiricilerinin yama göndermesini zorlaştırıyor ve umursamıyor
https://git-send-email.io/#step-2
Orada ayrıca şu ifade de yer alıyor: “Protonmail genel olarak oldukça kötü bir e-posta barındırıcısı olarak bilinir. Giden e-postaları bozarak yamaların karşı tarafta uygulanamamasına yol açabilir. Açık kaynağa kötü muamele etmesini ve güvenlik konusunda verdiği boş vaatleri saymıyorum bile. Başka bir e-posta sağlayıcısını düşünmelisiniz”
Bir hafta içinde gemiyi terk edip tam para iadesi alabilmiş olmam iyi oldu
Güvenlikten şikâyet eden bir yazı paylaşırken http bağlantısı gönderdiğimi fark etmenin ironisi var
NAS üzerindeki bir sanal makinede Proton Bridge kurup, yalnızca 127.0.0.1'i dinleyen bridge'e gelen IMAP/SMTP port bağlantılarını
rinetdile yönlendirmek ve o kutuyla telefondatailscaleayarlayarak Android e-posta istemcisi (tercihen FairEmail) ve Linux'ta Claws üzerinden Proton hesabına erişmek şeklindeki yapılandırma, self-hosting karmaşıklığının önemli bir kısmına oldukça benziyorBunu doğrudan bilmiyorum ama tekrar tekrar gündeme gelen bir konu