Show newer
Mr.Twister boosted

加密邮件供应商协助跨国维稳:ProtonMail 做了什么?为什么? 

ProtonMail 是一家专注于端到端加密通信的电子邮件服务提供商,最近,在一份警方报告显示法国当局设法获得了一名使用该加密邮件服务的法国活动家的IP地址后,该公司一直面临着批评。

该公司已经就这一事件进行了广泛的沟通,表示它默认不会记录IP地址,它需要 “遵守当地的法律法规” —— 在这种情况下是瑞士的法律。虽然 ProtonMail 没有与法国当局合作,但是,法国警方通过欧洲刑警组织向瑞士警方发出请求,迫使这家瑞士公司交出了其一名用户的IP地址。

在过去的一年里,一群活动家占领了巴黎圣马特广场附近的少数商业场所和公寓。抗议者们想要对抗士绅化、房地产投机、Airbnb和高端餐厅。虽然开始时是一场地方冲突,但是很快就成为一场象征性的反抗运动。当抗议者们开始占据 Le Petit Cambodge —— 一家在2015年11月13日巴黎恐怖袭击中成为目标的餐厅 —— 所租用的场所时,他们吸引到了报纸头条的报道。

9月1日,该组织在反资本主义新闻网站 Paris-luttes.info 上发表了一篇文章,总结了针对该组织一些成员的不同警方调查和法律案件。根据他们的报道,法国警方向 ProtonMail 发出了欧洲刑警组织的数据请求,目的是揭露创建 ProtonMail 账户的人的身份 —— 该反抗团体正在使用这个电子邮件地址进行交流。这个地址也被分享到各种无政府主义网站上。

第二天,@MuArF 在推特上分享了一份警方报告的摘要,详细介绍了 ProtonMail 的回复。据 @MuArF 称,这份警方报告与正在进行的针对占领圣马特广场附近多个场所的反抗团体的调查有关。它说,法国警方通过欧洲刑警组织收到了一条消息,该消息包含有关反抗者的 ProtonMail 账户的细节。

以下是报告的内容:

“PROTONMAIL 公司通知我们,该电子邮件地址是 …… 与该账户相连的IP地址如下...

使用的设备是一个…… 设备,识别号为 ......

该公司传输的数据仅限适合 PROTONMAIL 技术公司的隐私政策。"

ProtonMail 的创始人兼首席执行官 Andy Yen 在 Twitter 上对警方的报告作出了反应,但是没有特别提及该案件的具体情况。“Proton 必须遵守瑞士法律”,他写道,“只要有犯罪行为,隐私保护就可以暂停,瑞士法律要求我们回应瑞士当局的请求”。

特别是,Andy Yen 明确表示,他的公司没有与法国警方或欧洲刑警组织合作。似乎欧洲刑警组织充当了法国当局和瑞士当局之间的沟通渠道。在某些时候,瑞士当局接管了这个案件,并直接向 ProtonMail 发出请求。该公司在其透明度报告中提到这些请求是 “由瑞士当局批准的跨境请求”。

TechCrunch 联系了 ProtonMail 的创始人兼首席执行官 Andy Yen,询问有关此案的问题。

一个关键问题是,目标账户持有人究竟何时被告知他们的数据已被瑞士当局要求了,因为 —— 根据 ProtonMail 的说法 —— 给受害人通知是瑞士法律规定的义务。

然而,Yen 告诉记者 —— “出于隐私和法律原因” —— 他无法评论该案件的具体细节或提供 “关于正在进行的调查的非公开信息”,并补充说,“你必须向瑞士当局提出这些询问” 。

与此同时,他确实将记者指向了这个公开页面,ProtonMail 在这里写着它会为寻求其端到端加密电子邮件服务的用户数据的执法机构提供信息,包括制定 “ProtonMail用户通知政策”。

该公司在此重申,瑞士法律 “要求在第三方要求提供用户的私人数据,并且这些数据将被用于刑事诉讼时,必须通知用户” —— 但是,它也指出,“在某些情况下”,通知 “可以推迟”。

根据这项政策,Proton 表示,在以下情况下,通知会延迟:瑞士法律程序本身、瑞士法院命令、或 “适用的瑞士法律” 暂时禁止通知;或 “根据执法部门提供的信息,我们绝对酌情认为,提供通知可能会对可识别的个人或群体造成伤害、死亡或不可挽回的损害”。

“但作为一般规则,目标用户最终将被告知并有机会反对数据请求,无论是 ProtonMail 还是瑞士当局”,该政策补充说。

因此,在这个具体案例中,ProtonMail 很可能是根据法律命令推迟通知账户持有人的 —— 鉴于从启动记录到披露之间似乎长达8个月 —— 或者是瑞士当局提供的信息使其得出结论,推迟通知对于避免对某人或某些人造成所谓的 “伤害、死亡或不可挽回的损害” 的风险至关重要。目前还不清楚这里的 “不可挽回的损害” 在这种情况下究竟指的是什么,以及它是否可以被形象地解释为对个人/团体利益的 “损害”,例如对刑事调查的损害,而不仅仅是身体上的伤害,这将使该政策的范围大大扩展。

在这两种情况下,如果瑞士法律规定在个人数据被要求时必须进行通知,那么,如果同一法律机构可以在很长一段时间内(在这个具体案例中似乎超过了半年)堵住通知的嘴,那么向个人提供的透明度将受到严重限制。

ProtonMail 的公开披露还记录了瑞士当局要求提供的数据量的惊人增长。

根据其透明度报告,ProtonMail 早在2017年就收到了来自瑞士当局的13个数据请求 —— 但到2020年,这个数字已经膨胀到了超过三千五百个(3,572!)。

向瑞士当局提出的外国请求被批准的数量也在上升,尽管没有那么陡峭 —— ProtonMail 报告在2017年收到13个这样的请求 —— 在2020年上升到195个。

该公司表示,它遵守对用户数据的 “合法要求”,但它也表示,如果它认为这些命令不合法,它就会提出异议。它的报告显示,有争议的数据请求也在增加 —— 2017年 ProtonMail 对3个数据请求提出过异议,但在2020年,它对收到的750个数据请求进行了反击。

根据 ProtonMail 的隐私政策,它在回应瑞士法律规定的有效请求时可以提供的用户账户信息可能包括:用户自己提供的账户信息(如电子邮件地址);账户活动历史记录/ 元数据(如发件人、收件人电子邮件地址;传入邮件的IP地址;发送和接收邮件的时间;邮件主题等);邮件总数、使用的存储空间和最后登录时间;以及,从外部供应商发送到 ProtonMail 的未加密邮件。作为一个端到端加密的电子邮件供应商,它不能解密电子邮件数据,因此无法提供有关电子邮件内容的信息,即使在收到搜查令时也是如此。

然而,在其透明度报告中,该公司还表明了它可能(在法律上)有义务进行的额外的数据收集层 —— 它写道:“除了我们的隐私政策中列出的项目外,在极端的犯罪案件中,ProtonMail 还可能有义务监测用于访问从事犯罪活动的 ProtonMail 账户的IP地址”。

现在,正是IP地址监控部分在隐私倡导者中引起了如此大的恐慌 —— 对 Proton 公司作为一家 “以用户隐私为中心” 的公司的营销主张提出了不小的批评。

它面临着特别的批评,因为它在营销中声称提供 “匿名电子邮件”,以及在其透明度披露中的告诫措辞 —— 其中谈到IP地址记录只发生在 “极端的刑事案件” 中。

有任何人认为反城市化的反抗运动活动家符合 “极端刑事案件” 标准吗?

同时,Proton 确实为用户提供了一个洋葱地址 —— 这意味着担心被追踪的活动家可以使用Tor访问其加密的电子邮件服务,这使得他们的IP地址更难被追踪。因此,它正在为用户提供工具,以保护自己免受IP监控(以及保护他们的电子邮件内容不被窥探),尽管它自己的服务在某些情况下可以被瑞士执法部门变成IP监控工具。

在围绕法国活动家的IP记录被揭露的反响中,Yen 通过 Twitter 表示,ProtonMail 将在其网站上提供更突出的洋葱地址链接。

Proton 公司也提供自己的VPN服务 —— 而且 Yen 声称,瑞士法律不允许其记录VPN用户的IP地址。因此,如果这些活动家同时使用 Proton 公司的端对端加密电子邮件和VPN服务,他们是否能够躲过IP地址记录,值得推敲 ......

“如果他们使用 Tor 或 ProtonVPN,我们也能够提供一个IP,但这将是VPN服务器的IP,或Tor出口节点的IP”,当记者问及这个问题时,Yen 说。

“我们确实通过我们的洋葱网站(protonmail.com/tor)来防止这种威胁模式”,他补充说,“不过一般来说,除非你的基地在国际水域离岸15英里外,否则不可能无视法院的命令”。

“瑞士的法律制度虽然不完美,但确实提供了一些制衡措施,值得注意的是,即使在这种情况下,也需要两个国家的三个当局的批准,这是一个相当高的标准,可以防止大多数(但肯定不是全部)权力滥用”。

在 Reddit 上的公开回应中,Proton 公司还写道,它 “深切关注” 这一案件 —— 重申它在这一事件中无法对该命令提出异议。

“本案的起诉似乎相当激进”,它补充说,“不幸的是,这是近年来我们在世界各地越来越多地看到的一种模式(例如在法国,所谓的反恐法被不适当地使用)。我们将继续反对这种法律和滥用行为” 。

放大来看,在另一个可能威胁到欧洲互联网用户隐私的令人担忧的发展中,欧盟立法者已经表明,他们希望努力找到能够 *合法访问加密数据* 的方法 —— 即使他们同时声称 “支持强加密”。

隐私权运动活动家再次表示深切担忧。

ProtonMail 和其他一些端到端加密服务在1月份的一封公开信中警告说,如果欧盟立法者继续朝这个方向发展,有可能使该地区走上一条危险的反加密道路。

iyouport.substack.com/p/proton
techcrunch.com/2021/09/06/prot

南方公園S17E02真的做得太好了,完美地一次諷刺那些只要看到一些”不適宜”內容就想用家長鎖或者要求電視台移除節目避免小孩子看的家長,還有那些只會收錢不做事的垃圾有線電視台XDDDDD

有些事情真的設身處地去想就會發現有些事情不合理了

媽呀上一篇嘟文不小心寫了重覆的內容!好丟人!<o>

以安全性為賣點的 ProtonMail 被聲討,原因是向警方提供社運人士 IP 資料
chinese.engadget.com/protonmai

//始終就算是號稱匿名和加密的電郵服務供應商,在面對法庭要求的時侯不得不交出資料(雖然只是IP地址)。郵件能加密,IP地址就只能配合Tor或者VPN保密了。

不過認真一想,就算是自架的郵件伺服器,只要使用的是第三方伺服器供應商,哪天出事的時侯也可能會被供出去...郵件能加密,IP地址就只能配合Tor或者VPN保密了。

辛苦艱苦的人沒有時間去顧慮別的事情,過得幸福的人沒必要去顧慮別的事情。

不說不聽不看,直到事情降臨到自己頭上為止。

Mr.Twister boosted

【解密百度追踪脚本 abclite-2020-s.js】

dlswbr.baidu.com/heicha/mw/abc
这个追踪脚本被百度的多个服务所使用,如:百度百科、百度贴吧、百家号等。

今天花费了一些时间,对该追踪脚本进行一个系统的分析。
发现百度不仅搜集设备平台、浏览器名称、浏览器版本等基本信息。
还搜集CPU核心数、canvas指纹、设备屏幕宽高、浏览器安装的插件情况等进一步的信息。
最让我惊讶的,百度还通过 DeviceMotionEvent 事件监控用户设备的运动情况。

此外,该脚本还对检测了是否存在广告屏蔽器,eval函数是否被hook、脚本自身是否被修改或格式化。
对于 phantom、nightmare、Selenium、puppeteer 等常见的自动化浏览器该脚本也进行了检测。

最终将上述收集到的信息 AES 加密后上传至百度服务器。

解密后的脚本在这里:gist.github.com/yingziwu/6e16c

最后,也是最为重要的,常见的广告屏蔽规则中并没屏蔽该脚本。
如下图便是uBlock 默认订阅集外加 CHN: AdGuard Chinese (中文) 订阅集下,访问 baike.baidu.com/ 时的请求情况。
可以看出,该脚本并没有被屏蔽规则屏蔽。

#百度 #隐私安全 #浏览器

一大清早連不上自己的實例,還以為是伺服器出了什麼事,結果好像是昨晚Linode維護後Docker process卡死了,重啟之後又立即沒問題,虛驚一場🚮

Mr.Twister boosted

@rojopicca @cee @imissgmail并不是,这完全是误解,因为联邦宇宙发展到今天,如今,在你所在的长毛象世界,有其他一群人使用的并不是长毛象(mastodon),而是互通而来的其他实例类型(比如misskey,写意,pleroma等等),如果简单地以长毛象作为总称,其逻辑无异于“学好外语=学好英语”,以“主流”称呼忽视了其他实例类型使用人群,因此才有提议,以更准确,更具有概括性的总称“Fedi”来进行称呼。
具体您可以参见这条嘟文的讨论:bgme.me/@plazadeflora/10686029

__MACOSX的煩人程度就跟.DS_store一樣!(使用Linux的時侯特別感受到) :0010:

人生第一次買香水,被朋友成功推進了一個大坑
圖書館味的香水沒有想像中那麼像紙或書的味道,反而像是牛奶糖一樣
基本上要到中調那種紙的感覺才會比較強,但整體來說還是很好聞的

這讓我有點期待同一牌子的其他香水了,特別是假日的那一款

花29元買了香水的試用裝,感覺不算很貴
然後當容量跳到10ml / 30ml的時侯,我才意識到自己跳進了一個不得了的大坑

有時侯連在長毛象想要說些廢話都會覺得迷之羞恥。

也許是發言更加小心,也可能是單純覺得生活裡沒有什麼特別的事情值得分享,感覺隨著年齡上升想要在SNS發言的動力也會隨之下降。
以前用噗浪的時侯倒是什麼亂七八糟的事情都會發上去....現在已經回不去那種時間了

當鐵拳打擊某個地方時,永遠不要覺得少了什麼就會安全,事實上只要有心,牆和鐵拳永遠都會在哪天突然出現。

近期補教業就一個活生生的例子。

Mr.Twister boosted

“我遵纪守法三观正,铁拳越大力出击我越觉得安全”是我今早墙内网上冲浪见到的最好笑的发言。
铁拳想打哪里就打哪里,你真那么自信吗,真觉得自己一辈子也不会成为铁拳的制裁对象吗。
笑死,又想到那个笑话,
【自以为三观已经很正了,结果在CN values测出来的政治倾向居然是纳粹党,这一定不是什么正经网站!】

愈是明白不應該對極權或者世界的不公屈服,於是感覺對這個世界感受不到任何希望。

Show older
空氣力學

私人Mastdon,不開放註冊。