Glocalnet kör oskyddat!

[.sun]

Upptäckte häromdagen till min fasa att Glocalnet kör sin webbmail, mail.glocalnet.net, helt utan kryptering. Att jag inte märkt det tidigare förvånar mig ännu mer...

 

Så jag ringde upp kundtjänst, och fick efter mycket om och men ett svar från utvecklingsavdelningen: "Det är ingen prioriterad fråga. Vi jobbar på det, men har ingen tidsram för när det ska vara färdigt."

 

VA???

 

Detta kommer alltså från ett företag som gör stor grej av att sälja säkerhetspaket till hemdatorn för bara 39:-/mån. Menar de att det räcker om jag är skyddad till tänderna på min egen burk - de behöver då inte skydda uppkopplingen eller sina egna servrar?

 

Mycket oväntat agerande måste jag säga. Jag är på vippen att byta till deras bredband, men nu vete katten... Resonerar de så om webbmailen, vad är det mer som de då struntar i?

 

Det här var lågt, mycket lågt!

[inlägget ändrat 2005-07-06 10:58:51 av .sun]

[Stefan Eklinder]

 

 

Epost är inte skyddad. Liknas vid när du skickar vykort med snigelposten.

Alla kan läsa det på vägen till mottagaren. Kryptera får du själv göra, men då får du skaffa en vanlig epostklient.

 

---

C:\Eforum\Stefan Eklinder>|

 

"Det finns två företeelser som är oändliga, universum och den mänskliga dumheten. Jag är dock inte säker på den förstnämnda."

 

- Albert Einstein

 

-->Passerade 10.000 inlägg den 1 maj 2005 kl: 16.48<--

 

[Monshi]

mm, okrypterat? Menar du utan SSL eller vad? Inte så hemma på detta...

 

Men - för mig som privatperson är det inget jätteproblem. Det mest känsliga jag sänder via epost är väl min IP-adress och ibland något login till sidor likt eforum. Och ja, en del ekonomisk information om mig går visserligen över epost, men tror inte någon är intresserad av detta...

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

[.sun]

Hmmm, du har en poäng där. SMTP är ju inte skyddat. Men det känns ändå säkrare än HTTP på nåt sätt. Har dock aldrig stött på en webbmailtjänst som inte använder SSL, så det är väl därför jag blir så upprörd antar jag.

 

Fast å andra sidan, kör jag egen epostklient med SMTP så kan jag själv kryptera mailen om jag vill. O det finns lösningar som vissa operatörer stödjer för att göra den kommunikationen säkrare.

 

Men i fallet med webbmailen är jag ju helt utlämnad till operatörens goda vilja. Att smacka in https://mail.glocalnet.net funkar ju inte, jag måste köra oskyddat vare sig jag vill eller ej.

 

[fhe]

Har dock aldrig stött på en webbmailtjänst som inte använder SSL, så det är väl därför jag blir så upprörd antar jag.

Jag tycker det är rätt vanligt, speciellt när man kör i eget nät. Däremot brukar man väl vanligtvis ha https som enda möjlighet om man kör utifrån så att inte folk får sina lösenord sniffade på internet-cafét där de kollar mailen.

 

home.se/spray kör svjv också utan https och såvitt jag vet även idg-mail.

 

 

[.sun]

Jag syftade på publika tjänster från stora operatörer. Har givetvis inte provat dem alla, men com hem, Space2u, B-one, Hotmail/MSN/Passport, FS Data, you name it. Jag upplever det som väldigt vanligt att man kör SSL på webbmailen för sina kunder, och förväntar mig därför att hitta det hos alla större aktörer.

 

PS. IDG Mail kör krypterat: http://webmail.idg.se/main.asp?page=2

 

[fhe]

Jag syftade på publika tjänster från stora operatörer.

Jag tror du missuppfattade mig, det jag menade var just att det är rimligt att kräva att https som alternativ när man kommer utifrån men att det inom det egna nätet är rätt acceptabelt att inte ha det. I Glocalnets-fall skulle jag alltså tycka att det var ok med http om man körde hemifrån men inte när man kollade mailen från ett internetcafé.

 

Har givetvis inte provat dem alla, men com hem, Space2u, B-one, Hotmail/MSN/Passport, FS Data, you name it.

Det var det jag gjorde när jag nämnde just home.se/spray, de är inte störst i världen men de är tämligen stora i Sverige.

 

PS. IDG Mail kör krypterat: http://webmail.idg.se/main.asp?page=2

Nåja, man kan köra krypterat men den där länken (vilket ju är den man blir serverad i menyn) leder då inte till någon krypterad mail (med mindre än att man petar dit ett s).

 

 

 

[erik6]

Dom har mer prioriterade uppgifter att lösa på Glocalnet

http://www.bojkottaglocalnet.se

http://www.cint.se/Sweden/asp20/Leaf.asp?id=99916

 

[Monshi]

Och jag ska ärligt säga att jag inte haft några problem med Glocalnet. Men med den takt deras kundbas har expanderat är det alltid några som kommer i kläm. Några enstaka procent av väldigt många blir ganska många...

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

 

stvfl

[inlägget ändrat 2005-07-06 13:57:10 av Monshi]

[Monshi]

Ser nu att denna tråd huserar i Webb-allmänt. Där hör den inte hemma så jag flyttar den till På konsumentens sida

 

/T

Moderator för Webb - allmänt

 

[.sun]

Jag menade att Glocalnets webmail alltid är oskyddad, oavsett om jag kör hemifrån eller utifrån. För min del existerar inte "köra Glocalnet hemifrån" så som du avser, eftersom jag har com hem som bredbandsleverantör. Så jag betraktar mig som utifrånsurfandes till Glocalnet oavsett om jag sitter hemma, på café eller på jobbet.

 

Länken webmail.idg.se/main.asp?page=2 är bara info om att IDGMail kör krypterat, det var inte en länk till deras faktiska webmail... Klicka på den, skrolla ned en bit och läs.

 

[.sun]

Om man tar sig besväret att regga en egen domän som bojkottaglocalnet.se måste man vara riktigt piss off. Nu verkade det som om båda kunderna fått det de önskade, så den länken var ju inte särskilt informativ.

 

Vad gäller den andra så lovar jag att det finns liknande klagomål på alla operatörer. Ingen är helt klanderfri, och den här tråden handlade ju eg om Glocalnets inställning till säkerhet, inte om hur pass duktiga de är på att hålla vad de lovar.

 

[fhe]

Jag menade att Glocalnets webmail alltid är oskyddad, oavsett om jag kör hemifrån eller utifrån.

Jag vet att du menade det, ser du någonstans att jag hävdar motsatsen?

Allt jag sa var att det vanligtvis (och för att vara överjättetydlig så är det alltså säkert inte så hos Glocalnets, det framgår ju lixom av ditt ursprungsinlägg) är så att man inte vill ha saker krypterade i eget nät eftersom man helt enkelt inte har beoven där men att man vill ha det med https utåt (precis som du).

 

Naturligtvis är det uselt på alla sätt men att det inte är prioriterat är nog inte så konstigt. Gissningsvis kör betydligt mer än hälften av alla användare (i stort, inte bara hos Glocalnet) okrypterad pop3 resp okrypterad smtp, om det inte är fler som har behov där så är det nog svårt att motivera behovet för de som kör webbmail och inte kan tänka sig att använda någon annan tjänst.

 

Länken webmail.idg.se/main.asp?page=2 är bara info om att IDGMail kör krypterat,

Länken ifråga skickar mig rakt in i min webmail-låda hos idgmail och där finns inte spår av någon information om det så du syftar nog på någon annan länk eller får en annan sida genererad när du besöker länken. Svårt för mig att veta vilket.

 

Klicka på den, skrolla ned en bit och läs.

Bifogar en skärmdump så kan du sluta förutsätta att jag inte kollar länkarna du sprider. Om du undrar varför det står en annan adress i adressraden är det för att det är dit jag redirectas ögonblickligen om jag följer din länk.

Att de kör https såväl som http vet jag dock, default är det emellertid http och inte https (dock bara okryptead pop3 vill jag minnas) och det var bara ett exempel.

[inlägget ändrat 2005-07-06 14:47:07 av fhe]

[.sun]

He he, ja ibland måste man vara övertydlig, i synnerhet när man skriver text...

 

Då ska jag också vara övertydlig, och citera det som jag trodde att alla fick se när de surfade till länken:

 

SSL-kryptering för högsta säkerhet

På startsidan till IDGMail.se kan du vid inloggningen välja att läsa dina brev i krypterat läge. Det innebär att dina inloggningsuppgifter och brev skickas över internet via en 128-bitars krypterad SSL-anslutning. Det gör att ingen kan läsa eller på något annat sätt komma åt de data som överförs.

SSL, secure sockets layer, är ett kommunikationsprotokoll för överföring av personlig information över nätet. De vanligaste förekommande webbläsarna stödjer SSL.

 

Eftersom jag själv inte har IDGMail blev jag inte omdirigerad...

 

[Mr Andersson]

E-post är aldrig krypterat. Även om du kör https till webmail-servern, så kommer mailet att skickas utan kryptering på Stora Stygga Internet...

 

Vill man skydda det man skickar via email, ska man givetvis antingen kryptera mailet med tex PGP, eller åtminståne kryptera en fil med det du vill skydda och sen bifoga den.

 

Som privatperson har jag svårt att se situationer då det finns något att skydda. Om man ändå har något känsligt att skicka, hur lagrar mottagaren det? Skickar han det vidare till alla han känner? Det har du ingen aning om.

 

Företag har ofta (men tyvärr inte alltid) bra säkerhet vad det gäller lagring av dokument, men så länge det är människor som hanterar det, kommer det att finnas säkerthetsproblem.

 

 

 

[fhe]

Som privatperson har jag svårt att se situationer då det finns något att skydda.

Att skydda användarnamn och lösenord tycker jag är viktigt nog för att vilja köra krypterat. Finns väl ingen anledning att dela ut tillgång till sin mail bara för att man är privatperson utan nåt att skydda (om man nu är en sån, personligen har jag rätt mycket viktigt i min mailbox).

[inlägget ändrat 2005-07-06 20:43:33 av fhe]

[Mr Andersson]

Helt sant, men hur många kör inte POP3? (där skickas båda lösenord och anv.namn i klartext, såvida man inte kör något AUTH-standard)