Topic: Alice nel paese delle (mancanti) cifrature

[bibbolo]

Sto provando ad aggiungere un account alice ma dopo i passaggi di rilevamento automatico TB avvisa che alice non utilizza alcun tipo di cifratura sia per il server in uscita (out.alice.it) che per quello in entrata (in.alice.it) con tanto di spunta su "sono consapevole dei rischi" per poter continuare. E' normale questa cosa? Mi sembra strano che alice non abbia la cifratura per i client; ho provato a leggere i problemi noti ma questo non mi pare di averlo letto..

[bibbolo]

qualche idea?

[bibbolo]

Scusate ma  nessuno utilizza alice con TB? 
Qualcuno può fare una prova per vedere se funziona la connessione sicura?

[miki64]

Mi spiace, io non utilizzo Alice.
Ciao.

[bibbolo]

Miki ti chiedo troppo se ti chiedo di creare un indirizzo con alice per fare una prova?

[klades]

Ma scusa non basta che guardi i parametri sul sito Alice?
Da qui http://assistenzatecnica.telecomitalia.it/at/portals/assistenzatecnica.portal?_nfpb=true&_pageLabel=ProblemiBook&nodeId=/AT_REPOSITORY/348010&radice=consumer_root mi sembra evidente che non ci sono accessi che usano SSL.

[bibbolo]

Che ne so magari la pagina non era aggiornata oppure esisteva ugualmente un modo.. quindi se voglio utilizzare l'indirizzo in sicurezza sono costretto a farlo soltanto da webmail? se così stanno le cose mi vien da dire "che ca***a telecom/alice che non permette la sicurezza via client..

[klades]

quindi se voglio utilizzare l'indirizzo in sicurezza sono costretto a farlo soltanto da webmail? se così stanno le cose mi vien da dire "che ca***a telecom/alice che non permette la sicurezza via client..

E' cosa notoria e in passato confermata (e avallata) persino dall'Autorità per le telecomunicazioni che i provider per interessi economici (leggi pubblicità) vogliono che gli utenti usino la webmail anziché i programmi di posta, quindi non mi sorprende più di tanto.
Ma vedrai che presto implementeranno accessi SSL anche via POP/IMAP

[Winfox]

Io la uso.
Al momento sono con password su connessione non protetta, ma in teoria è possibile scegliere tra STARTTLS e SSL/TLS.

Non ho ancora guardato il link, ma finora ho sempre letto qui sul forum che non è possibile utilizzare nessun tipo di sicurezza della connessione con Alice.

[bibbolo]

Porto in auge questa discussione un po' datata.

Ma vedrai che presto implementeranno accessi SSL anche via POP/IMAP

A distanza di oltre quattro anni, purtroppo, non hanno implementato proprio un bel niente.

Vorrei chiedere ai più esperti che rischi potrei correre, in concreto, se utilizzassi ugualmente TB con alice senza cifratura. Sono realmente a rischio per la sicurezza oppure potrei tranquillamente infischiarmene? Odio la webmail..

[deckard]

Teoricamente parlando con un filtraggio (Wireshark/TShark + Winpcap/libpcap o nmap/npcap) all'interno di una rete Lan o alcune tipologie di WiFi c'è la possibilità di intercettare (sapendo che cosa guardare e dove e conoscendo i protocolli di posta) le password.
Oltre al fatto che i codici passano in chiaro dal computer fino al server del provider.
L'unica possibilità di rimediare che mi venga in mente è l'adozione di una VPN assieme alla verifica dell'assenza di malware e di programmi con funzionalità di “packet sniffing ” sul proprio computer.
Oppure cambiare fornitore di posta elettronica.
In ogni caso la sicurezza attiva in campo informatico, l'ethical hacking, il pentesting e le reti private virtuali esulano dalle tematiche del forum.

[bibbolo]

Ti ringrazio per la risposta.

Beh, non voglio parlare di queste tematiche, ma spero di non essere off topic se parlo di sicurezza legata a Thunderbird.

Comunque, per motivi che esulerebbero dal topic devo scartare le soluzioni cambio provider e VPN; inoltre nella valutazione dei rischi posso anche sorvolare su un improbabile sniffing della rete wi-fi interna.. Mi preoccupa più che altro il percorso router-server; vorrei cioè capire, non necessariamente scendendo in aspetti troppo tecnici, se nella valutazione dei rischi è altamente sconsigliabile l'utilizzo di alice con il client o se, tutto sommato, si può sorvolare.

[deckard]

Se vogliono fare cose stile NSA o stile Mossad con la mia posta elettronica ci riescono anche nel caso in cui io dovessi ricorrere alle più forti cifrature e alle migliori codifiche. (Impiegherebbero solo un po più di tempo, white hat o black hat o agenzie governative/militari o criminali o altro che sia...)
La morale è sempre quella, oltre al fare merenda con una famosa brioche, prudenza, paranoia e preparazione (Estote Parati).
Alla fin fine non è solo un discorso delle comunicazioni che girano all'interno della casella, ma anche di ciò che potrebbero fare attribuendo a te il “merito”.
Altamente sconsigliabile non direi. Visto che molti hanno riscontrato varie problematiche io avrei dei dubbi nel complesso che valga la pena avere tale fornitore in considerazione di tutto, ma ci sono già almeno due discussioni sulla scelta di un provider email.
Poi non so se come ipotizzato da Winfox Alice abbia implementato almeno STARTTLS poiché tu mi dici che SSL/TLS non è supportato.

Possibilità di migliorare la sicurezza è la cifratura della posta elettronica (GnuPG ed Enigmail), l'uso del formato testuale, fare attenzione anche a tanti altri dettagli, non aprire link da comunicazioni che chiedono di scaricare file o di fornire credenziali, aggiornare il sistema operativo e i programmi, et cetera.

[bibbolo]

Altamente sconsigliabile non direi. Visto che molti hanno riscontrato varie problematiche io avrei dei dubbi nel complesso che valga la pena avere tale fornitore in considerazione di tutto, ma ci sono già almeno due discussioni sulla scelta di un provider email.

Purtroppo una volta scelto il provider, con la casella già data ai contatti e a cui sono legati diversi account, non si può tornare indietro o gettarla via facilmente, ad ogni modo non è stata una mia scelta, si tratta di una casella di una piccola impresa a cui do una mano e a cui sono autorizzato ad avere accesso.

Poi non so se come ipotizzato da Winfox Alice abbia implementato almeno STARTTLS poiché tu mi dici che SSL/TLS non è supportato.

Suppongo che la cifratura sia supportata a patto che anche il provider internet sia TIM.. Nel mio caso non lo è, ovviamente.

Possibilità di migliorare la sicurezza è la cifratura della posta elettronica (GnuPG ed Enigmail), l'uso del formato testuale, fare attenzione anche a tanti altri dettagli, non aprire link da comunicazioni che chiedono di scaricare file o di fornire credenziali, aggiornare il sistema operativo e i programmi, et cetera.

Premesso che il client lo utilizzerei solo io - e so bene che non devo cliccare su link sospetti (un po' come quando da bambini ci si avvertiva di non accettare le caramelle dagli sconosciuti) - queste problematiche non si verificherebbero durante il mio utilizzo; per quanto riguarda enigmail et similia, ricordo che anni fa ci diedi un'occhiata e mi sembrò tutt'altro che intuitivo o di semplice utilizzo (oltre ad aver riscontrato malfunzionamenti nel client). Immagino comunque che questa cosa avrebbe senso se anche tutti gli altri destinatari o mittenti interagiscano a loro volta con questi programmi: detto in altre parole, impossibile.

In sostanza mi preoccupa solo sapere se il traffico che viaggia in chiaro sia facilmente intercettato su tratte che ovviamente non conosco, visto che dal mio router ai server TIM non si sa certo che percorso fanno i pacchetti; se sono "tratte" frequentemente intercettate, uno spammer o un hacker avrebbe le chiavi in mano della casella. Il problema pertanto sarebbe legato soprattutto a un ipotetico cambio credenziali che di fatto ci impedirebbe l'accesso alla casella. Per questo volevo sapere se la probabilità che si verifichi una simile circostanza sia frequente o rara.

[deckard]

Alice è guardacaso uno dei nomi di fantasia adoperati negli esempi fatti per spiegare la cifratura delle email con GnuPG (l'altro è Bob), ma questo discorso esula parzialmente dalle tematiche.
La cifratura ha senso se è adoperata anche dai contatti, vero.
Senza cifratura la password e le email possono essere intercettate con maggiore facilità.
Nessuno scriverebbe i dati d'accesso e le password della propria banca su una cartolina.
Impossibile dire a priori se siano "tratte" frequentemente intercettate oppure no. Impossibile dire a priori che cosa finirebbe in mano altrui e sotto i suoi occhi. Di base tutto è potenzialmente visibile in chiaro senza cifratura.
Io non posso entrare nel merito delle scelte di Alice e non sono in grado di andare oltre a scelte che non mi sono chiare.
Diciamo che se devi inviare o ricevere dati che sarebbe meglio non venissero intercettati forse è meglio adoperare altre vie: la webmail con un bloccatore di pubblicità, allegati protetti da password, fare attenzione a come si inviano dati riservati e sensibili.