Da rohe E-Mails nicht verschlüsselt sind, könnte das, was Sie in einer E-Mail lesen können, (konzeptionell) von jedem gelesen worden sein. Um die E-Mail zu lesen, muss der Angreifer jedoch weiterhin eine Verbindung zum HTTPS-Server herstellen, wodurch Spuren hinterlassen werden (die IP, von der aus der Angreifer eine Verbindung herstellt, ist diesem Server bekannt - natürlich ist diese IP wahrscheinlich die eines Tor-Ausgangsknoten). Das Link-in-E-Mail-System verhindert nur passive Angriffe : Der Angreifer muss irgendwann einige eigene IP-Pakete senden. Dies ist keine enorme Erhöhung der Sicherheit ...

In der Regel tun dies Promotoren von Lösungen wie der von Ihnen beschriebenen aus Sicherheitsgründen, nicht jedoch Ihre Sicherheit. Sie möchten wissen, wann die E-Mail gelesen wurde. Dies ist eine vorbeugende Maßnahme gegen Personen, die peinliche E-Mails lesen und dann behaupten, sie hätten sie nie erhalten. Es ist kein großer Beweis, aber es kann ausreichen, um Ausweichmanövern einiger nicht kooperativer Mitarbeiter entgegenzuwirken.

Wenn Sie ein System wünschen, das garantiert, dass nur eine bestimmte Person lesen kann Wenn Sie die E-Mail senden, müssen Sie definieren , an welche bestimmte Person Sie denken. In der Welt der Computer hat jeder einen Computer, und sie sind nicht sofort voneinander zu unterscheiden. Menschen haben physische Identitäten , die nicht Teil der Computerwelt sind, daher muss irgendwann unbedingt eine Verbindung hergestellt werden. Standardmäßige sichere E-Mail-Lösungen wie S / MIME tun dies über eine Public-Key-Infrastruktur: Ein Empfänger wird definiert als "der Typ, der den privaten Schlüssel kontrolliert, der dem öffentlichen Schlüssel entspricht welches in diesem Zertifikat ist ". Dies verschiebt das Problem der physischen Identifizierung in einen einzelnen vorbereitenden Schritt, in dem das Zertifikat ausgestellt wird.

Ein mögliches Modell ist, dass Sie den Empfänger einmal persönlich getroffen haben und er Ihnen seine Visitenkarte gegeben hat. Auf der Karte ist der Fingerabdruck seines öffentlichen OpenPGP-Schlüssels aufgedruckt. Anschließend finden Sie den Schlüssel von einem öffentlichen Schlüsselserver und überprüfen den Fingerabdruck. Es gibt viele Varianten dieses Konzepts, aber es ist notwendigerweise ein physischer Kontakt außerhalb des Computers erforderlich.

Ich möchte dies zu hinzufügen, was der Bär bereits gesagt hat

Diese Methode bietet fast keine Sicherheit. Warum?

Anzeigen der E-Mail mit dem Link = Anzeigen der realen Nachricht

Dies entspricht fast dem Senden des Textes in derselben E-Mail, die zum Senden verwendet wurde die Verbindung. Warum machen sie das dann? Sie könnten fragen. Hier einige mögliche Gründe:

• Zustell- und Lesebestätigung: Wenn Sie auf den Link klicken und die Seite anzeigen, wird die Nachricht gelesen.

• Plausible Deniability: Nach dem ersten Besuch kann die Nachricht auf dem Server entfernt und später ohne Zweifel über die Quelle der Nachricht nicht mehr an andere Personen weitergegeben werden. (Auch wenn Sie einen Screenshot der Nachricht machen, speichern Sie die Seite und behalten Sie die E-Mail mit dem Link bei. Der Absender kann jederzeit ablehnen und behaupten, dass Sie alle oben genannten Punkte leicht vortäuschen können.)

• Zugriffskontrolle: Der Server, auf dem sich die Nachricht befindet, ist möglicherweise so konfiguriert, dass IP-Adressen auf der weißen Liste die Nachricht anzeigen können. (Auch wenn Ihr E-Mail-Konto entführt wurde, muss sich der Angreifer im Bereich der weißen Liste befinden, um die eigentliche Nachricht anzuzeigen.)

Eines, das noch nicht erwähnt wurde, ist, dass dieser Ansatz die Sicherheit aus einem anderen Blickwinkel verbessern kann: Anstatt Bedenken hinsichtlich des Datenschutzes auszuräumen (was eindeutig nicht der Fall ist), hilft er definitiv bei der Festlegung Überprüfbarkeit .

Jeder kann eine E-Mail senden und die Header fälschen, um den Eindruck zu erwecken, dass sie von Ihrem Anbieter stammen. (vorausgesetzt, die Systeme sind ausreichend gesichert) Inhalte, die auf seiner Website gehostet werden, können jedoch als echt eingestuft werden.

Dies ist besonders wichtig, wenn Phishing berücksichtigt wird. Es ist viel einfacher, Personen darin zu schulen, nur Inhalten zu vertrauen, auf die sie über das "Sichere Portal" zugreifen, als in der E-Mail-Nachricht direkt zu bräunen, um sie dazu zu bringen, legitime und falsche E-Mails zu unterscheiden.

Ein Trick, den ich zuvor gesehen habe, ist ein einmaliger Download-Link. Wenn Sie den Link besuchen, können Sie die Datei nach dem ersten Versuch nicht herunterladen. Wenn Sie dort ankommen und die Datei bereits heruntergeladen wurde, bevor Sie es versuchen, haben Sie einen Kompromiss festgestellt. Hoffentlich zeichnet diese Site mindestens die Adresse und die Zeit der Downloader auf.

Das Problem, das der Absender der E-Mail zu lösen versucht, sind Daten während der Übertragung und ruhende Daten, insbesondere eine Kopie ihrer E-Mail und der Weg zum Ziel. Wenn Sie sich bei einer dieser "sicheren" Lösungen anmelden, ist Tumbleweed ein Beispiel. Sie melden sich einfach bei einem Server im Netzwerk des Absenders an. Die Daten haben das Netzwerk des Absenders nie verlassen und waren daher während der Übertragung weder ungeschützt noch in Ruhe ungeschützt, wie wenn sie sich in Ihrem Posteingang in Ihrem Webmail-Konto befinden.

Zusätzlich der Link, den Sie bereitgestellt haben Der Absender wurde nur an Ihre E-Mail-Adresse gesendet, sodass vermutlich nur eine Person mit Zugriff auf Ihre E-Mail Zugriff auf diesen Link hat. Hoffentlich ist der Link-Generierungsalgorithmus richtig konzipiert und vor einem Angreifer sicher, der die Links vorhersehbar brutal erzwingen und nach bekannten Nachrichten suchen kann. Bei diesem Dienst wird außerdem davon ausgegangen, dass Sie in Ihrem E-Mail-Konto ein sicheres Kennwort verwenden.

Einige dieser "sicheren" E-Mail-Lösungen können zum Schutz der E-Mail eine Kombination aus Benutzername und Kennwort erstellen. P. >

Ich würde vorschlagen, dass ohne Kenntnis des gesamten Ablaufs nicht einfach davon ausgegangen werden sollte, dass dies ein Sicherheitstheater ist. es ist jedoch auch durchaus möglich, dass dies der Fall ist. Wenn Sie bestätigen möchten, dass diese tatsächlich so sicher sind, wie es Ihr Unternehmen beabsichtigt hat, fragen Sie Ihr Infrastruktur-Team, ob sich hinter den Kulissen etwas abspielt.

Der Begriff „sicher“ kann in Bezug auf Nicht-Sicherheit verwendet werden. Zurückweisung; Die "E-Mail", auf die Sie über den Link zugreifen, bleibt garantiert unverändert zwischen ihrem Server und Ihrem Browser. Es ist auch möglich, dass eine Garantie gegeben wird, dass sich die E-Mail nie ändert, z. B. indem ein vertrauenswürdiger Dritter die ursprüngliche „E-Mail“ speichert, die er gesendet hat. Dies wäre für beide Unternehmen von Vorteil, vorausgesetzt, die einzige notwendige Sicherheit besteht darin, dass beide Parteien über genau dieselben Informationen verfügen. Dies ist natürlich nicht ausreichend, wenn die Sicherheit privilegierte Informationen schützen soll.

Es kann sein, dass Ihrem Unternehmen eine Reihe statischer IP-Adressen zugewiesen sind und das andere Unternehmen über eine Whitelist verfügt IPs, von denen Anfragen kommen, die Zugriff erhalten. Intern könnte Ihr Unternehmen eine Trennung der Bedenken mit diesem System erreichen.

Schließlich kann es sein, dass Ihr Unternehmen die Anmeldung / den Handshake automatisch in Ihrem Namen durchführt, wenn Ihre Verbindung beim Verlassen des internen Netzwerks über einen Proxy erfolgt. Dies kann alles sein, was ein Mitarbeiter des Unternehmens sehen kann, wenn die sicheren E-Mails (wie im obigen IP-Beispiel) an den Proxy gesendet werden. Dabei wird anhand Ihrer Benutzer-ID nach Ihrer E-Mail-Adresse gesucht und diese im Rahmen des Handshakes an den Server des anderen Unternehmens weitergeleitet, um festzustellen, ob Sie haben insbesondere das Recht, diese E-Mail zu sehen.

Ich hoffe, dass ein Single Sign-On-Ansatz (das letzte Beispiel) der Grund dafür ist, dass Sie anscheinend nur einen Link benötigen, um auf diese sicheren Informationen zuzugreifen. Ihre Frage lässt mich überlegen, ob wir den Benutzern irgendwie mitteilen sollten, ob ihre Fähigkeit, ohne Anmeldung auf eine interne Anwendung zuzugreifen, auf einmaliges Anmelden zurückzuführen ist oder ob die Informationen innerhalb der Organisation öffentlich sein sollen. Oder erwarten sie es intern, möchten aber nur einen Hinweis für Dritte? Ich nehme an, das ist ein UX-Problem.