Zwei Fragen zu Google Mail

Foren-Suche
Betatester: War bei der Closed Beta von GamersGlobal (März bis Mai 2009) dabeiAlter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertGG-Supporter: hat einmalig 10 Euro gespendetBronze-Jäger: Hat Stufe 5 der Jäger-Klasse erreichtLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Reporter: Hat Stufe 6 der Reporter-Klasse erreichtDiskutierer: Hat 1000 EXP durch Comments erhaltenStar: Hat 1000 Kudos für eigene News/Artikel erhaltenGG-Spender: Hat eine Spende von 5 Euro an GG.de geschicktFleißposter: Hat 200 EXP mit Forumsposts verdientKommentierer: Hat 100 EXP mit Comments verdientAzubi-Redigierer: Hat 100 EXP beim Verbessern fremder News verdientVorbild: Hat mindestens 100 Kudos erhaltenTop-News-Schreiber: Hat mindestens 5 Top-News geschriebenSammler: Hat mindestens 50 Spiele in seiner Sammlung
bolle (17 Shapeshifter, 7613 EXP)
GTX 1060! So much fun!
User ist offline. Zuletzt gesehen vor 2 Tagen 21 Stunden Offline
Beigetreten: 16.3.2009
Inhalte: 35

Liebe Gamersgloblar,

bräuchte mal Meinung von Leuten die sich bisschen mit Web-Infrastruktur auskennen:

Ich habe kürzlich von browserbasiertem Emailing auf Thunderbird umgestellt, hauptsächlich aus der Motivation, weniger geklicke zu haben um schnell die Mails zu checken. Mailprovider sind Gmail, Posteo und meine Uni. Von Gmail wollte ich längst weg sein (jemand the Circle gelesen), schaffe es aber irgendwie nicht.

Was jetzt auffällt wenn man umstellt: Gmail warnt deutlich davor, "wenig sichere Apps" zuzulassen.

Weiß jemand was es damit auf sich hat?

Und zweite Frage: Mein Hauptproblem mit Gmail ist, dass Google meine IP meiner Person zuweisen kann, sobald ich mich von irgendwoher in mein Gmail einlogge. Davor ist das nur irgendeine IP, welche Suchanfragen stellt - doch sobald ich mich einlogge, weiß die Datenbank "ah das ist der bolle!" (soweit richtig, oder?)

Wenn ich jetzt über Thunderbird die Emails abrufe: Macht Thunderbird das mit meiner persönlichen IP? Oder geht das über einen Zwischenserver?

Alter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiDiskutierer: Hat 1000 EXP durch Comments erhaltenFleißposter: Hat 200 EXP mit Forumsposts verdientKommentierer: Hat 100 EXP mit Comments verdient
kommentarabo (14 Komm-Experte, 2055 EXP)
:
User ist offline. Zuletzt gesehen vor 13 Stunden 37 Minuten Offline
Beigetreten: 28.7.2013

das läuft direkt über deine aktuelle ip, wenn du kein vpn oder nen proxy zwischenschaltest. privacy-mäßig bringt das also nichts.

____________________________________

Wir weinten vor Freude, als wir den roten Schein am Himmel sahen. Dresden brennt, die Aliierten sind nicht mehr weit!

Alter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertDieser User hat uns an Weihnachten 2014 mit einer Spende von 5 Euro unterstützt.Loyalist: Ist seit mindestens einem Jahr bei GG.de dabeiFleißposter: Hat 200 EXP mit Forumsposts verdientKommentierer: Hat 100 EXP mit Comments verdientSammler: Hat mindestens 50 Spiele in seiner Sammlung
Fisch (14 Komm-Experte, 2662 EXP)
User ist offline. Zuletzt gesehen vor 47 Wochen 6 Tagen Offline
Beigetreten: 27.1.2012

Google (und andere Anbieter) haben feststellen müssen, daß die Nutzeridentifikation aus "Benutzername" und "Paßwort" einen großen Sicherheitsnachteil hat: sie werden zu leicht kompromittiert. Nutzer nehmen ein leicht zu erratendes Paßwort, womöglich auch noch an mehreren Stellen das gleiche usw. In diesem "Sicherheitskrieg" lautet die Eskalationsstufe "Zwei-Faktor-Authentifikation". Es reicht nicht, einen "Sicherheitsschlüssel" in Form von Benutzername- & Paßwortpärchen zu haben, es muß ein zweiter "Schlüssel" hinzukommen, der (möglichst) auf einem anderen Weg übermittelt wird. Eine Möglichkeit wäre, beim Einloggen etwa eine SMS an eine hinterlegte Mobilfunknummer zu senden, in dem ein Einmalcode steht, der dann bei der Anmeldung angegeben werden muß (oder Sprachnachricht an eine Rufnummer). Oder man hat einen Generator, der wechselnde Sicherheitscodes generiert (etwa auch Blizzards Authenticator). Auch gibt es Apps für Smartphones. Nachteile dieses Systems sind die Kosten und der Komfortverlust, aber auch die eigentliche Software muß das unterstützen. Auf einer Webseite ist das kein Problem, aber wie soll ein E-Mailprogramm damit umgehen? POP3 und IMAP bzw. SMTP sehen so etwas meines Wissens nach nicht vor, eine entsprechende Erweiterung wäre schwer durchzusetzen. Baue ich das als Funktion in ein Betriebssystem ein (oder erlaube den Zugriff auf eine Auth-App), auf das Apps (etwa für einen Kalender- oder Adreßbuchzugriff) zugreifen können, dann muß ich sicher stellen, daß die App damit kein Schindluder treibt - schwierig.

Also gibt es eine Verringerung des Sicherheitsniveaus, indem man bestimmte Geräte von dieser zusätzlichen Sicherung freischalten kann - dann wird etwa dem (einen) Computer erlaubt, sich nur mit Name/Paßwort auszuweisen, versucht man es von einem anderen Gerät aus, wird der Sicherheitscode verlangt (etwa: der Bolle kommt immer mit seinem Milchwagen vorbei, den kennen wir, kommt der auf einem Motorrad vorbei, müssen wir genauer hinsehen).

Soweit mein Versuch, das zu erklären.

Zur zweiten Frage: ja, kurzzeitig. In der Regel haben Nutzer dynamische IP-Adressen, d. h. die zugeteilte IP-Adresse ändert sich regelmäßig, indem bei der Verbindung aus einem Topf von IP-Adressen eine "gezogen" wird. Da die Gegenseite nicht wissen kann, wann eine Neuverbindung stattfindet, kann sie eigentlich nicht davon ausgehen, daß der Nutzer mit der IP x auch noch der gleiche ist, der später mit dieser vorbeischaut. Für die Nutzeridentifikation/-verfolgung gibt es daher noch eine ganze Reihe von Tricks, die eine Verfolgung unabhängig von der IP-Adresse ermöglichen soll. Alt bekannt sind Cookies, die entsprechende Informationen speichern und herausgeben, der Browser an sich kann so abgefragt werden, daß er eine Art eindeutigen Fingerbdruck liefert, den man dann mit einer bekannten Identität verknüpfen kann. Wirklich eindeutig ist das nicht, denn wenn Du bei einem Freund mal schnell einen Blick in Deine E-Mails wirfst, dann wird dessen Computer ja seinen Fingerabdruck mit Deinem Konto abliefern. Wenn der also anschließend andere Dienste nutzt ...

Ein Proxy dazwischenzuschalten, hilft insofern, als die Anfrage von der Proxy-IP zu kommen scheint, was ja gerne gemacht wird, um einen anderen Standort vorzuspiegeln, setzt aber ein gewisses Maß an Vertrauen zum Proxy(-Betreiber) voraus, denn der könnte den Verkehr natürlich auswerten, denn der kennt Deine momentane IP natürlich, denn sonst könnte er die Antworten nicht an Dich weiterleiten.

Ein VPN setzt eine Anbindungsmöglichkeit an ein bestehendes Netzwerk voraus, Deine externe Anbindung wird zu einer netzwerkinternen gemacht, so als wäre Dein Rechner Teil des lokalen Netzwerkes. Erlaubt das Netzwerk den Zugriff von "innen" nach "außen", dann kann das ähnlich wie ein Proxy genutzt werden.

Ansonsten gilt: gleich über welchen Weg ich mich "ausweise" (Browser, E-Mail-Programm, Konsole), die Datenpakete enthalten meine aktuelle öffentliche IP-Adresse, damit die Antwort des Servers an mich zurückgeschickt werden kann.

Was könnte man tun? Man könnte die Verbindung vor und nach dem Google-Mail-Zugriff kurz trennen, damit jeweils eine neue IP zugeteilt wird, für den Zugriff einen anderen Browser nehmen (und auch nur dafür). Sonderlich bequem ist das allerdings nicht, auch muß man dazu wissen, ob die Adressen auch wirklich bei einer Neuverbindung wechseln. Das System frei von "Spionen" halten, die einem bei der Nutzung über die Schulter schauen (Toolbars zum Beispiel), nicht automatisch bei Diensten eingeloggt werden/bleiben, weil es ja so schön einfach ist. Und der eigentlich beste Rat: gar nicht erst nutzen - nur ist das halt immer so ein Rat, der erstens zu spät kommt und zweitens einfacher gegeben als befolgt ist. Wenn Schulklassen sich "geschlossen" bei sozialen Netzwerken anmelden, weil es ja so einfach ist, alle zu informieren oder eben weil ja "alle" mitmachen ... klar, da kann man als einziger aufstehen und "nein" sagen, man muß kein Smartphone besitzen usw. Muß man halt die soziale Meidung tapfer ertragen, schließlich tut man das Richtige und die anderen sind die Datenschäfchen und Privatsphären-Geisterfahrer. Doch würde ich über jene, die dem nicht standhalten können, nicht den Stab brechen wollen.

Betatester: War bei der Closed Beta von GamersGlobal (März bis Mai 2009) dabeiAlter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertGG-Supporter: hat einmalig 10 Euro gespendetBronze-Jäger: Hat Stufe 5 der Jäger-Klasse erreichtLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Reporter: Hat Stufe 6 der Reporter-Klasse erreichtDiskutierer: Hat 1000 EXP durch Comments erhaltenStar: Hat 1000 Kudos für eigene News/Artikel erhaltenGG-Spender: Hat eine Spende von 5 Euro an GG.de geschicktFleißposter: Hat 200 EXP mit Forumsposts verdientKommentierer: Hat 100 EXP mit Comments verdientAzubi-Redigierer: Hat 100 EXP beim Verbessern fremder News verdientVorbild: Hat mindestens 100 Kudos erhaltenTop-News-Schreiber: Hat mindestens 5 Top-News geschriebenSammler: Hat mindestens 50 Spiele in seiner Sammlung
bolle (17 Shapeshifter, 7613 EXP)
GTX 1060! So much fun!
User ist offline. Zuletzt gesehen vor 2 Tagen 21 Stunden Offline
Beigetreten: 16.3.2009
Inhalte: 35

Danke für die Ausführliche Antwort - dürfte ich xp oder Medaillen verteilen, würde ich dir eine geben smilie

Insgesamt also schwer, sich da zu anonymisieren. Ist wohl wirklich das Beste, Suchmaschine und Onlinedienste zu trennen. Email, Recherche, Videoportal, Soziales Netzwerk und OnlineOffice aus einem Haus, das ist mir echt zu viel...

Alter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertDieser User hat uns an Weihnachten 2014 mit einer Spende von 5 Euro unterstützt.Loyalist: Ist seit mindestens einem Jahr bei GG.de dabeiFleißposter: Hat 200 EXP mit Forumsposts verdientKommentierer: Hat 100 EXP mit Comments verdientSammler: Hat mindestens 50 Spiele in seiner Sammlung
Fisch (14 Komm-Experte, 2662 EXP)
User ist offline. Zuletzt gesehen vor 47 Wochen 6 Tagen Offline
Beigetreten: 27.1.2012

Freut mich, daß ich helfen konnte.

Ein paar Dinge noch als Nachtrag:

- es kann noch viel schwerer werden, halbwegs anonym zu bleiben, wenn der Provider einen heimtückisch überfährt. In den USA baut Verizon in die Kommunikation einen "SuperCookie" in Form einer Nutzerkennung in die Kommunikation zwischen dem Browser und den Servern ein. Wer als Werber deren Trackingprogramm lizensiert, kann so Nutzer überall identifizieren (siehe etwa hier.

- WebRTC kann die tatsächliche IP-Adresse eines Nutzers "ausplaudern", auch wenn der über einen Proxy seine Adresse gegenüber dem Server verschleiert.

- die Zwei-Faktor-Authentifizierung wird natürlich torpediert, wenn man sich den zweiten "Schlüssel" per SMS auf das Smartphone schicken läßt und dann den Dienst damit nutzt. Wer in den Besitz des Telefons kommt, hat dann ja quasi eine Sicherheitsebene in der Hand. Aber wer will schon zwei Telefone herumschleppen ...

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)