TB 91.13.0 – Betreffzeile wird nach dem Öffnen einer verschlüsselten Mail permanent unverschlüsselt angezeigt

  • • Thunderbird-Version: 91.13.0 (64-Bit)

    • Betriebssystem: Linux, Debian 11, arm64

    • Kontenart: POP

    • PGP


    Hallo,


    Nach dem Upgrade von TB 91.10.0 auf 91.13.0 stelle ich fest, daß der Betreff verschlüsselter Mails nach dem Öffnen später nicht mehr als "...", sondern permanent im Klartext angezeigt wird.


    Obwohl der Schlüssel 'mail.identity.id*.protectSubject = true' bei mir nach wie vor vorhanden ist, wirkt er in der neuen Version offenbar nicht mehr (erkennbar an dem 'Löschen'-Symbol am Ende der Zeile).


    Gespeichert wird der Betreff im Klartext in der zum Ordner gehörenden '*.msf' Datei. Will man die Mail wieder komplett verschlüsselt speichern, läßt sich das über die Funktion 'Reparieren' des Ordners erreichen.


    Das ist natürlich alles andere als Anwenderfreundlich!

    Danke Mozilla für einen weiteren Rückschritt in Sachen Sicherheit!

  • In der Sache hast du recht. Aber kannst du nicht endlich mal dieses depperte Bashing unterlassen? Meiner Meinung nach sollte jemand der kein Masterpassword benutzt und dem schon das Sperren des Bildschirms beim Verlassen des Rechners zu viel ist, anderen keine Belehrungen zum Thema Sicherheit machen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Meiner Meinung nach sollte jemand der kein Masterpassword benutzt und dem schon das Sperren des Bildschirms beim Verlassen des Rechners zu viel ist, anderen keine Belehrungen zum Thema Sicherheit machen.

    Ein 'Masterpasswort' (und auch das Sperren des Bildschirms) ist kein Ersatz für die Sicherheit des privaten Schlüssels, wie sie 'gpg-agent' bietet und bis 'TB 68 + Enigmail' implementiert war. Erstens ist es optional (!), und zweitens gibt es kein Timeout nach dem Eingeben.


    Das Aufzeigen von Schwachstellen in der aktuellen Implementierung der Verschlüsselung in TB ist keine Belehrung, sondern m. E. dringend geboten.

  • Ich schrieb bereits, dass du in der Sache recht hast. Dennoch bin ich der Meinung, jemand der nach eigenen Bekunden so schlampert mit der Sicherheit umgeht und die vorhandenen Möglichkeiten nicht nutzt, der sollte sich mit solchen Sprüchen in Richtung der Entwickler zurückhalten.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Dennoch bin ich der Meinung, jemand der nach eigenen Bekunden so schlampert mit der Sicherheit umgeht und die vorhandenen Möglichkeiten nicht nutzt, der sollte sich mit solchen Sprüchen in Richtung der Entwickler zurückhalten.

    Ich weiß jetzt nicht, wen du damit meinst – ich kann jedenfalls nicht gemeint sein, denn wie ich an anderer Stelle schon schrieb, nutze ich nach wie vor 'gpg-agent', um meine privaten Schlüssel zu schützen.