Re: [Hackmeeting] Mailvelope

Delete this message

Reply to this message
Author: ono-sendai
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] Mailvelope
On 03/07/2013 20:18, Anathema wrote:

> - la ggente necessita di un approccio alla crittografia *semplice*,
> *rapido* e *funzionale* (considerazione derivata dagli innumerevoli
> seminari su privacy, email e crittografia che vengono puntualmente
> ignorati)


Bha' non saprei. Qui siamo rimasti piacevolmente sorpresi dalla partecipazione
avuta al cryptoparty fatto all'universita'. Inoltre ora "grazie" a Prism
personalmente mi ritrovo spesso (nei contensti piu' variegati e non legati
all'informatica) a parlare di crittografia e privacy con gente che si appunta
roba per usarla (da autistici a gpg) :) .

> Girando in rete ho trovato questo mailvelope: sappiamo tutti che la
> crittografia via browser non e` il massimo della sicurezza ma mi sembra che
> abbiano fatto abbastanza per "blindare" i dati.
>
> Voi che ne pensate?


Io ne capisco poco quindi non penso nulla di mio :D ...pero'...

Qui [0] c'e' il report dell'audit fatto da una societa' esterna (e finanziato
dall' Open Technology Fund (RFA) ). La situazione non era proprio rosea,ma
adesso sembra abbiano fixato parecchia roba [1]. Oltre questo non ho trovato
altri audit (ma ho cercato poco :P)

> Penso che potrebbe essere utile da diffondere nel movimento, o quanto meno
> per avviare un approccio, appunto, "iniziale" alla crittografia.


*Imho*,al di la' del software in questione, non consiglierei mai un software
poco maturo (nel senso che non e' stato ampiamente testato da N ggenti che ne
capiscono) per roba cosi' delicata come la crittografia. Sul loro stesso
github etichettano la versione per chrome come beta e quella per firefox come
alpha. Certo e' un progetto interessante da tenere d'occhio,ma io non mi
piglierei la responsabilita' di consigliarlo.

Altrimenti si rischia di fare come per
cryptocat!Ultrapubblicizzato,ultrafigo,ultrafacile,ma anche ultra insicuro! [2]

Anzi sopratutto in un contesto come quello del "movimento" o comunque in
contesti che dovrebbero essere piu' sensibili a questi temi,anche "grazie" a
Prism, io proprio ora punterei su seminari che spieghino come usare strumenti
ampiamente testati in modo sicuro (il panico di prism potrebbe dare la giusta
energia per configurare un client di posta :P ).

Bho' in alternativa direi di fare copia e incolla da un frontend per gpg :P

[0] http://cure53.de/pentest-report_mailvelope.pdf
[1] http://www.mailvelope.com/blog/security-audit-and-v0.6-release
[2] http://tobtu.com/decryptocat.php