web-dev-qa-db-ja.com

JavaScriptを使用すると、ProtonMailが安全でなくなりますか?

ProtonMail の外観が気に入っています。しかし、私がサインアップを停止したのは、JavaScriptがサイトのさまざまな時点で使用されているようであり、誰かがあなたのメールを読むために、JavaScriptページであると私が信じているものへのリンクをクリックする必要があるということです。

私のように、Tor Browser BundleをNoScriptで使用している人にとっては、サイトが使用可能であっても、Torでメッセージの内容を表示したいエンドユーザーはどうでしょうか。

Freedon Hostingに起こったこと のようなことが心配です。しかし、エクスプロイトがなくても、JavaScriptを使用して誰かのマスクを解除するかなり単純な攻撃を見てきました。

これはかなり馬鹿げているように見えますが、私は専門家とはかけ離れています。私はここで間違っているのでしょうか、過剰反応しているのでしょうか、またはこれは、たとえばFBI(またはスイスの何でも)がIPアドレスを取得するために使用できる実際の巨大な脆弱性ですか?

編集:私は この記事 を見つけましたこれは私の心配です。

5
k1308517

注:この質問は Torコミュニティ の方が良いかもしれませんが、ここでは話題になっています

Thomas Rothは Protonmailクロスサイトスクリプティング(XSS)攻撃に対して脆弱であることを示しました。

ビデオ(Vimeo) 彼が作成したことは、少なくともメール本文がJavascriptインジェクションに対して脆弱であることを示しています。受信者がメールを読むとすぐに、コードが実行されます。残念ながら、このコードは悪意のあるものになる可能性があり、とりわけユーザーを匿名化する可能性があります。 FBIは、彼らがFreedom Hostingを押収したときにそれが可能であることを示しました。 (ただし、Firefoxでは -day を利用していました。)

JavaScriptを有効にして Tor browser を使用するのは危険です。これを無効にすると、攻撃対象が減ります。 Tor開発者はこの問題を認識しており、 FAQ: で対処しています。

NoScriptがTorブラウザのデフォルトでJavaScriptを許可するように構成されているのはなぜですか?それは安全ではありませんか?

多くのWebサイトはJavaScriptを無効にすると機能しないため、TorブラウザーではデフォルトでJavaScriptを許可するようにNoScriptを構成します。ほとんどのユーザーは、使用したいWebサイトがJavaScriptを必要とする場合、完全にTorをあきらめます。これは、WebサイトがJavaScriptを使用できるようにする方法がわからない(またはJavaScriptを有効にするとWebサイトが機能する可能性がある)ためです。

TorブラウザはJavaScriptを無効にする機会を与えます(NoScriptプラグインで)。ただし、お気づきかもしれませんが、 ProtonmailはJavaScriptに大きく依存しています で、これを無効にすると、サービスを使用できなくなります。

JavaScript、セッションストレージ、Cookieが必要なのはなぜですか?

ProtonMailは、Webブラウザーでメッセージの暗号化と復号化を行います。

これにより、メッセージを個別に復号化する機能がなくなり、データのセキュリティとプライバシーが保証されます。 Webブラウザーで暗号化と復号化を行うには、JavaScriptを使用して暗号化/復号化し、SessionStorageを使用して秘密鍵を保存する必要がありますローカル。また、ProtonMailでは、現在のセッション情報を保存してアカウントにログインできるように、Cookieを有効にする必要があります。

(最後の強調は私のものです。)

したがって、選択する必要があります。 (脆弱性が見つかったとしても)Protonmailが安全であると信頼することを決定します。または、離れて別の解決策を見つけます。

4
Yuriko