Re: Protonmail как образец embrace, extend & extinguish (was: О вольных и невольных врагах свободного Интернета)

2020-06-14 Пенетрантность neo
On Sat, 2020-06-13 at 10:07 +0300, Dmitry Alexandrov wrote:
> n...@nxmail.org wrote:
> > On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov 
> > wrote:
> > > n...@nxmail.org wrote:
> > > > ваш "почтальон" - один из главных наблюдателей и лоббистов
> > > > коммерческих интересов в сегодняшнем Интернете.
> > > 
> > > Вы так говорите «коммерческий» как будто это что-то плохое.
> > 
> > По моему опыту - рано или поздно любой коммерчески успешный проект
> > либо закрывается
> 
> Тут очевидно «без» потеряно — «безуспешный».
> 
> > либо вводит максимально некомфортную для пользователей монетизацию,
> > либо продаёт личные данные на регулярной основе.
> 
> Так вот и примените ваш опыт к Протонмэйлу.  Что из этого их, по-
> вашему, ждет?

Не представляю даже, зависит от того, кто купит. Если не продадут, буду
приятно удивлён. Хотя через какой период времени уже можно удивляться -
непонятно.

> 
> Напоминаю, что хотя шифрованные письма они более писать не запрещают,
> и забрать и накопленные письма, и тайный ключ у них теперь можно¹,
> давать SMTP+IMAP только за деньги они все еще не стесняются.
> 
> -
> ¹ Да-да, раньше было нельзя.  И изменение, между прочим, есть прямое
> следствие такой штуки, как GDPR, — так что опрессивное
> законодательство тоже бывает полезным.
> 
> > прежде чем пользоваться коммерческим продуктом, я сначала уточняю,
> > каким образом можно от него отказаться и не потерять ничего.
> 
> Все верно.  Вот я и рассказываю, что́ можно потерять, сначала сев на
> Протонмэйл, а потом решив от него отказаться.  Можно потерять связь с
> людьми, которые знать не знают и знать ничего не хотят ни про какие
> стандарты шифрования, а задолбили только, что они пользуется «Secure
> Email Based in Switzerland», у которого инфраструктура «resides in
> Europeʼs most secure datacenter, underneath [прости господи] 1000
> meters of solid rock», а вы — нет.

Связь с людьми можно также потерять, если они выложили на свой Гугл
Диск защищённый авторскими правами файл и разослали ссылку (не
обязательно даже через Гугл Почту). Их аккаунт могут заблокировать
навсегда и целиком.
Нужно всегда иметь второй канал связи, можно даже открытый, как форум
или список рассылки.
> 
> Тогда как та же Гуглопочта в этом отношении беспроблемна.
> 
> > > > Протонмэйл - это почтальон, который не вскрывает
> > > 
> > > Как это? Если вы письмо надежно запечатали в криптообертку, то
> > > вскрыть его сможет только адресат. А если письмо открытое, то его
> > > и вскрывать нечего — оно открытое.
> > 
> > Вы это понимаете, а среднестатистический пользователь электронной
> > почты - нет.
> 
> Может быть, не берусь судить.  Даже если принять за аксиому, что он
> не слишком далекий человек — и сам почему-то этого не понимает, то не
> надо сбрасывать со счетов пропаганду еще более враждебно настроенных
> к открытым сетям компаний вроде «Телеграмма» или «Сигнала», которые
> себе тоже имя делают на шифровании.
> 
> > Смею высказать убеждение, что крупные провайдеры электронной почты
> > умышленно не афишируют этот факт
> 
> Вы так говорите «крупные», будто противопоставляете им Протонмэйл.
> 
Наверное, я должен был сказать "бесплатные". Я всё-таки не считаю, что
"бесплатный" Протонмэйл может использоваться, как основной ящик. 500 МБ
, 3 папки, 3 ярлыка, несколько фильтров - это не серьёзно.
Тот факт, что для полноценного использования надо заплатить, явно
доносится до пользователя в процессе регистрации.

> > чтобы пользователи и дальше хранили гигабайты личных или даже
> > конфиденциальных данных незашифрованных в ящиках.
> 
> Ну, не буду с этим спорить.
> 
> Сообщу только на всякий случай, что из крупных почтовых провайдеров,
> помимо Протонмэйла, пропагандирует PGP https://gmx.com.  Причем
> именно шифрование как всеобщий стандарт, а не как «Secure email: GMX
> is free encrypted mail».
> 
Как-то странно пропагандируют, несколько страниц у них открыл,
описывающих преимущества их ящика, ни на одной не упомянуто ни
"encrypt", ни "PGP"

> Ну и та же Гуглопочта, да и думаю не она одна, вполне умеет в S/MIME
> (для вашего домена, естественно) и никуда этот функционал не прячет.
> 
> > > > и не читает мои письма,
> > > 
> > > Это они вам сказали, да?
> > 
> > Все их клиенты с открытым кодом.
> 
> Да, уже целых полтора месяца как. ;-)
> 
> И как же все-таки прекрасна эта опенсорсная мифология приложенная к
> программам, которые вы даже на уровне установил / обновил / удалил не
> можете толком контролировать, да что там — даже _знать_ вам не
> положено, когда они обновляется.
> 
> В любом случае, что вы в этом «открытом» коде хотели или боялись
> увидеть?
> 
Я не разработчик и тем более не специалист по криптографии. Полагаю,
тот факт, что письма расшифровываются локально, в клиенте - это хорошо.

> > Я доверился оценке независимых аудиторов и сообщества.
> 
> Оценке на предмет _чего_?  Клиент — это программа, исполняющаяся на
> вашей машине.
> 
Оценки [1] были на предмет того, что письма хранятся на сервере в
зашифрованном виде, а сотрудники не имеют 

Re: Protonmail как образец embrace, extend & extinguish (was: О вольных и невольных врагах свободного Интернета)

2020-06-13 Пенетрантность Dmitry Alexandrov
n...@nxmail.org wrote:
> On Saturday, June 6, 2020 6:42 PM, Dmitry Alexandrov  wrote:
>> n...@nxmail.org wrote:
>>> ваш "почтальон" - один из главных наблюдателей и лоббистов коммерческих 
>>> интересов в сегодняшнем Интернете.
>>
>> Вы так говорите «коммерческий» как будто это что-то плохое.
>
> По моему опыту - рано или поздно любой коммерчески успешный проект либо 
> закрывается

Тут очевидно «без» потеряно — «безуспешный».

> либо вводит максимально некомфортную для пользователей монетизацию, либо 
> продаёт личные данные на регулярной основе.

Так вот и примените ваш опыт к Протонмэйлу.  Что из этого их, по-вашему, ждет?

Напоминаю, что хотя шифрованные письма они более писать не запрещают, и забрать 
и накопленные письма, и тайный ключ у них теперь можно¹, давать SMTP+IMAP 
только за деньги они все еще не стесняются.

-
¹ Да-да, раньше было нельзя.  И изменение, между прочим, есть прямое следствие 
такой штуки, как GDPR, — так что опрессивное законодательство тоже бывает 
полезным.

> прежде чем пользоваться коммерческим продуктом, я сначала уточняю, каким 
> образом можно от него отказаться и не потерять ничего.

Все верно.  Вот я и рассказываю, что́ можно потерять, сначала сев на 
Протонмэйл, а потом решив от него отказаться.  Можно потерять связь с людьми, 
которые знать не знают и знать ничего не хотят ни про какие стандарты 
шифрования, а задолбили только, что они пользуется «Secure Email Based in 
Switzerland», у которого инфраструктура «resides in Europeʼs most secure 
datacenter, underneath [прости господи] 1000 meters of solid rock», а вы — нет.

Тогда как та же Гуглопочта в этом отношении беспроблемна.

>>> Протонмэйл - это почтальон, который не вскрывает
>>
>> Как это? Если вы письмо надежно запечатали в криптообертку, то вскрыть его 
>> сможет только адресат. А если письмо открытое, то его и вскрывать нечего — 
>> оно открытое.
>
> Вы это понимаете, а среднестатистический пользователь электронной почты - нет.

Может быть, не берусь судить.  Даже если принять за аксиому, что он не слишком 
далекий человек — и сам почему-то этого не понимает, то не надо сбрасывать со 
счетов пропаганду еще более враждебно настроенных к открытым сетям компаний 
вроде «Телеграмма» или «Сигнала», которые себе тоже имя делают на шифровании.

> Смею высказать убеждение, что крупные провайдеры электронной почты умышленно 
> не афишируют этот факт

Вы так говорите «крупные», будто противопоставляете им Протонмэйл.

> чтобы пользователи и дальше хранили гигабайты личных или даже 
> конфиденциальных данных незашифрованных в ящиках.

Ну, не буду с этим спорить.

Сообщу только на всякий случай, что из крупных почтовых провайдеров, помимо 
Протонмэйла, пропагандирует PGP https://gmx.com.  Причем именно шифрование как 
всеобщий стандарт, а не как «Secure email: GMX is free encrypted mail».

Ну и та же Гуглопочта, да и думаю не она одна, вполне умеет в S/MIME (для 
вашего домена, естественно) и никуда этот функционал не прячет.

>> > и не читает мои письма,
>>
>> Это они вам сказали, да?
>
> Все их клиенты с открытым кодом.

Да, уже целых полтора месяца как. ;-)

И как же все-таки прекрасна эта опенсорсная мифология приложенная к программам, 
которые вы даже на уровне установил / обновил / удалил не можете толком 
контролировать, да что там — даже _знать_ вам не положено, когда они 
обновляется.

В любом случае, что вы в этом «открытом» коде хотели или боялись увидеть?

> Я доверился оценке независимых аудиторов и сообщества.

Оценке на предмет _чего_?  Клиент — это программа, исполняющаяся на вашей 
машине.

> Незашифрованные письма анализируются автоматически на предмет спама

Ну то есть _читают_ они ваши письма, если могут, — как и все остальные.  Ч. т. 
д.

>> > и не позволяет это сделать другим.
>>
>> Да ладно? Это как? Есть только один способ не позволить третьим лицам 
>> прочесть сообщение — зашифровать его.
>
> Так и есть.

Ну да.  Осталось выяснить, что, собственно, пользователь Протонмэйла должен для 
этого сделать?  То есть, допустим, вы хотите отправить личное письмо мне, не 
пользуясь другими юзерагентами, кроме фирменного — опишите, пожалуйста, 
последовательность действий.  Это чтобы было с чем сравнить действия, 
необходимые для отправки рекламной листовки вместо письма.

>> А во-вторых, вы, очевидно, просто позабыли (ну или не знали), с чего этот 
>> ваш «Протонмэйл» начинал несколько лет назад. А хватило у них неосторожности 
>> начать с того, чем впору заканчивать, уже подмяв под себя львиную долю 
>> рынка: с невозможности отправлять шифрованные письма.
>>
>> Получать — пожалуйста, а отправить можно было только листовку вида «я 
>> пользуюсь замечательной швейцарской почтой Protonmail, чтобы прочитать, что 
>> я вам написал, пройдите по ссылке». (Я не шучу: зайдите и сами посмотрите — 
>> они эту хрень до сих пор никуда с видного места не убрали.)
>
> Да, и сейчас есть такая возможность.

Она не просто есть, она в окне написания письма на самом видном месте.  А вот 
поиск публичного ключа у них где?