Topic: Più sicuro il client o la webmail?

[bibbolo]

Forse se ne sarà già parlato da qualche parte anche in questo forum ma non ho trovato e apro ad hoc. Come da oggetto mi sono sempre chiesto, al di la di valutazoni oggettive, se sia più sicura l'una o l'altra cosa. E' chiaro che se il computer non è condiviso è sicuramente più comodo il client (se non altro per la possibilità di avere le email in locale sul pc e i vari componenti aggiuntivi che offre TB), ma il mio dubbio si basa sostanzialmente sulla connessione cifrata ed in particolare della password (che viene inviata tutte le volte che il client controlla se è arrivata posta sul server); da webmail praticamente tutti i provider usano la connessione cifrata (https), ma avviene anche su TB? Ad esempio ho un dubbio sul mio account hotmail configurato su TB:  se vado su "impostazioni server" alla voce "sicurezza della connessione" ho selezionato SSL/TLS mentre alla voce "metodo di autenticazione" mi trovo selezionato "password normale", ed è qui che mi sorge il dubbio. Se seleziono "password cifrata" (la parola "cifrata" mi da per l'appunto un'idea di sicurezza maggiore) mi dice che non è supportata e sono costretto a lasciare "password normale"... come mai? Questo significa che sono più vulnerabile rispetto alla connessione da webmail?

[klades]

La connessione SSL/TLS corrisponde alla connessione che avviene tramite https
La cifratura della password (che è cosa diversa dalla cifratura della connessione e non avviene neanche quando ti connetti via webmail) serve quando si usano connessioni non SSL perché con l'SSL è superflua.
Io penso che entrambi i metodi siano sicuri, se proprio si vuole essere pignoli secondo me è più sicuro un client di posta perché, al contrario di un browser:
- non usa javascript
- si connette solo al server che hai impostato tu, mentre il browser potenzialmente può ridirigere la connessione dove vuole
- è praticamente (quasi) immune da vulnerabilità

[Underpass]

Mi permetto di aggiungere a quanto ha detto klades (che ringrazio per le spiegazioni): se scarichi la posta e non te la tieni sul server non c'è pericolo che le tue mail vengano lette da terze persone.

[bibbolo]

Grazie per le spiegazioni klades, ora mi è chiaro il discorso della cifratura e della psw; per la seconda parte in che senso il browser può redirigere due volte, cioé che tipo di vulnerabilità è e c'è un modo per accorgercene?

se scarichi la posta e non te la tieni sul server non c'è pericolo che le tue mail vengano lette da terze persone.

Ti riferisci al protocollo pop3? io uso imap..

[Underpass]

Sì, certo, mi riferisco a POP3. Da "vecchio" utilizzatore dei client email

[bibbolo]

Capisco Under, che molto probabilmente il proprio pc è più sicuro di un server di webmail (a meno che non si abbia preso qualche virus che che invii informazioni a terzi ignoti) ma se per un motivo x vai a perdere il contenuto del tuo disco rigido perdi tutte le email, o se ti trovi fuori casa da pc condivisi e ti serve vedere una mail arrivata non sarebbe possibile se è stata eliminata dal server..

[Underpass]

Guarda, sarà che io con la mail casalinga non ci lavoro, ma faccio più o meno ogni 2-3 mesi un backup del mio profilo di posta e nel malaugurato caso che il mio disco dovesse guastarsi, perdo poche cose e nessuna utile (forse solo le ricevute degli acquisti online mi potrebbero fare comodo).

Dovrei dirmi fortunato a non aver bisogno della posta vecchia.

[klades]

Condivido quanto detto da Underpass sui pericoli di privacy nel tenere tutte le mail sul server, è una cosa che non mi piace neanche a me.

Grazie per le spiegazioni klades, ora mi è chiaro il discorso della cifratura e della psw; per la seconda parte in che senso il browser può redirigere due volte, cioé che tipo di vulnerabilità è e c'è un modo per accorgercene?

Ho premesso e ribadisco che anche leggere la posta dalla webmail è assolutamente sicuro a livello di connessione; ciò detto, quando tu ti connetti con un browser a un sito, è perfettamente normale che alcuni suoi contenuti vengano da URL diversi oppure che dopo il login ti rimandi ad un'altra pagina.
Questo non è una vulnerabilità, è il funzionamento normale dei siti web.
Resta il fatto che se uno decidesse di attaccare un fornitore di mail, è più facile farlo attraverso il sito web che i protocolli per la posta (qualche anno fa ci fu un attacco di questo tipo a GMAIL in Iran).