Fragen? Antworten! Siehe auch: Alternativlos
Heute kommt ein weiteres krasses Beispiel dafür an mir vorbei: Google Mail bietet jetzt auch "Ende-zu-Ende-verschlüsselt" an.
Wie implementieren sie das? Sie mailen einen Link raus, und da muss der Empfänger draufklicken, und da kriegt er dann ein "Mini-Gmail", mit dem er diese Mail lesen kann.
Das ist ein geradezu atemberaubendes Ausmaß an Marketing-Kokserei. Leider kein Einzelfall. Ich krieg gelegentlich "verschlüsselte Mails" von Protonmail. Das ist dann ein Link, der mich dazu nötigt, mir bei Protonmail einen Account anzulegen, und mit dem kann ich dann die Mail lesen.
Leute, eine verschlüsselte Mail zeichnet sich dadurch aus, dass ich sie entschlüssele. Nicht dass ich zu einem Webdienst gehe, der sie entschlüsselt.
Nun kommt verwirrenderweise dazu, dass man theoretisch so einen Dienst so bauen kann, dass die Entschlüsselung in Javascript in meinem Browser vonstatten geht. Das ist leider optisch und für normale Menschen nicht von einem Webdienst zu unterscheiden ist, bei dem die Entschlüsselung auf Serverseite passiert.
Dazu kommt, dass das Javascript ja jedes Mal vom Server geladen wird. Selbst wenn man das also mal prüft, dass die Entschlüsselung in Javascript im Browser stattfindet, dann muss das beim nächsten Aufruf der Seite nicht immer noch so sein.
Kurz gesagt: Ist alles eine schlechte Idee. Lasst euch nicht verarschen. Nehmt nicht an solchen Diensten Teil. Die verschicken entweder PGP-MIME-Mails oder sie sind nicht vertrauenswürdig.