www.fabiankeil.de/blog-surrogat/2005/11/18/mein-lieber-hushmail-fan.html
der Du mir vor wenigen Minuten eine Mail mit dem aussagekräftigen Betreff Dickes Lob PW: o
schicktest.
Möglicherweise wirst Du Dich wundern, warum ich arroganter Kerl mich noch nicht dazu herabgelassen
habe Dir zu antworten. Ich erkläre es gern, ich musste erstmal für etwas Aufklärung sorgen.
Als Deine Mail in meinem Postfach aufschlug, machte mein Herz einen kleinen Sprung der Freude. Meinem rein objektiven Empfinden nach, bekomme ich viel zu wenig Fanmail, auch Groupies sind eher rar.
Der erwartungsvolle Blick in den Körper Deiner Mail ließ mein zartes Herz jedoch aussetzen. Was mich ansprang war kein verdientes Lob, sondern der blanke Unsinn, den ich hier gerne anonymisiert wiedergebe:
Subject: Dickes Lob PW: o Date: Thu, 17 Nov 2005 14:17:28 -0800 (PST) $FanEmailAdresse has sent you a secure email using Hushmail. To read it, please visit the following web page: https://www.hushmail.com/express/$ZeichenketteZurIdentifikation Frequently Asked Questions: Why did I receive this email? You have received this email because $FanEmailAdresse uses Hushmail for secure communication. To read your secure email, you must follow the link provided and correctly answer a secret question created by the sender. What is a secure email? Sending a regular email is like sending a postcard - it may be read by any number of people before reaching its recipient(s). A secure email is like sending a letter in a sealed envelope - it can only be read by the sender and intended recipient(s). Is it safe to follow the link in this email? It is safe to visit the Hushmail web site by following the link provided in this email; however you should never open an email attachment unless you know the person who sent it to you, you were expecting to receive the file from them, and you have scanned the file for viruses. When you arrive at the Hushmail web site, be sure to check the following: The address bar of your web browser shows: https://www.hushmail.com/express A small picture of a padlock appears in the bottom right corner of your web browser If you would prefer to access your message by entering its message code, please visit the following web page: https://www.hushmail.com/express You will be asked to enter the following message code: $ZeichenketteZurIdentifikation What is Hushmail? Hushmail is a web-based email service that lets you send and receive email in total security using OpenPGP standard algorithms. These algorithms, combined with Hushmail's unique key management system, provide unrivalled levels of security. Hushmail's security is end-to-end; when you send an email it is encrypted on your computer and remains encrypted until it reaches its recipient(s). Hushmail's encryption is automatic, transparent, and seamless - no special computer skills are required. How do I create a free Hushmail account? You can create a free Hushmail account by clicking on the following link: https://www.hushmail.com/?l=476
Bereits nach dem ersten Absatz wurde mir eines klar:
Obwohl die Schnarchnasen etwas von OpenPGP standard algorithms
schwafeln,
kam die Mail komplett unverschlüsselt und war
nicht einmal elektronisch signiert.
Prinzipiell halte ich unverschlüsselte Mails nicht für tragisch,
ein dickes Lob
kann man meiner Meinung nach durchaus auch unverschlüsselt
schicken.
Wer sein dickes Lob
jedoch vor den ganzen nach Lob strebenden Geheimdiensten verstecken
möchte, der sollte es schon richtig machen. Mein öffentlicher GPG-Schlüssel ist im
Impressum verlinkt,
wer möchte kann mir seine Mails verschlüsselt ins Postfach quetschen.
Dazu muss man auch keine externe Dienstleister bemühen, für jedes relevante Mailprogramm gibt es entsprechende Erweiterungen.
Der von Dir benutzte Dienst Hushmail bietet jedenfalls nur Pseudo-Sicherheit.
Die Idee scheint zu sein: Du schickst mir ein Passwort, ich melde mich damit bei Hushmail auf einer verschlüsselten Seite an und bekomme den eigentlichen Inhalt präsentiert. Die Pappnasen bei Hushmail haben jedoch eine Kleinigkeit übersehen: das Passwort wird unverschlüsselt gesendet.
Wer seinen Lauschposten günstig positioniert hat und die Mail mitlesen kann, ist auch in der Lage, mit dem Passwort an die geheime Nachricht zu kommen. Das Hushmail-Gefrickel macht das Lesen also für mich theoretisch umständlicher, bringt aber der Sicherheit gar nichts.
Ich schreibe theoretisch
, weil ich die Nachricht nicht gelesen habe und auch nicht
lesen werde, denn der Link zur Nachricht enthält eine auf mich zurückzuführende
Identifikationsnummer. Ich habe mir nicht Privoxy installiert, um mir anschließend beim Lesen
meiner Mails über die Schulter schauen zu lassen. Wann, ob und wie lange ich mein Mails lese
ist meine Privatsache.
Für weiteren Unmut sorgt, dass die Mail zwar vor Anhängen von unbekannten Personen warnt, jedoch selber drei mitschleppt. Textmails regeln, nur Anfänger schicken bebildertes HTML.
Natürlich konnte ich es mir nicht verkneifen, einen kurzen Blick auf die Homepage dieser Amateure zu werfen. Ich wurde nicht enttäuscht, der Schwachsinn geht weiter:
Please Note: If you're seeing this message you MUST enable ActiveScripting / JavaScript in your browser.
Freie Übersetzung: Wenn Du dies liest, musst Du Deinen Rechner zur Fernwartung freischalten.
Auch das Logo trägt zur Erheiterung bei. Für Schlüsselloch-Spanner sicher angemessen.
Ich hoffe, Du wirst in Zukunft auf die Lachnummer Hushmail verzichten. Wenn Du verschlüsselt mailen willst, besorge Dir einfach ein richtiges Mailprogramm.
Falls Dein dickes Lob
allgemeiner Natur war und global für die ganze Website gelten soll,
werde ich das gerne so akzeptieren, besten Dank. Solltest Du jedoch irgendeine Seite besonders hervorheben,
oder sogar kritisieren wollen, versuch es bitte noch mal.
Meine E-Mail-Adresse und der passende Schlüssel sind irgendwo auf dieser Seite versteckt, einer verschlüsselten Textmail steht nichts im Wege.