Re: [Hackmeeting] javascript e facilit? = felicit?

Nachricht löschen

Nachricht beantworten
Autor: boyska
Datum:  
To: hackmeeting
Betreff: Re: [Hackmeeting] javascript e facilit? = felicit?
On Mon, Jul 28, 2014 at 09:16:23AM +0200, ɣęƈƞą wrote:
>> mi spieghi in termini pratici la differenza tra enigmail e minilock?
>> (intendo proprio in numero di click!)[i colori? il drang and drop? gli
>> occhiali di nadim?], ignorando la parte di key management, che con
>> enigmail PUOI fare, con minilock non sai manco che cos'e'! per non
>> parlare dei bug che con minilock hai e con enigmail/gpg no.
>
>
>I bug finché non li vedi non ci sono, sono solo stimati. E non so se è più
>facile stimare dei bug utilizzabili contro un utente, in una sistema di
>email non mantenuto (enigmail) o in un browser, il quale valore di mercato
>di un exploit (credo) sarà superiore ai 20k €$£.


in realtà credo che enigmail sia di nuovo mantenuto, dato che è stata
recentemente rilasciata una nuova versione con un numero di feature
consistente
https://www.enigmail.net/news/index.php#v170

Scusate se qui "rimescolo" la tua email ma mi viene più facile, e non
credo di traviare il senso:

>(sbattimenti di enigmail = configurarti POP3/IMAP, generarti chiave,
>eventuali giuste paranoie sul


Mh, la configurazione della mail con thunderbird è così semplice che non
ho mai visto NESSUNO penarci nemmeno un po'.

Non ho proprio mai visto nessuno provare enigmail e dire che è scomodo,
anzi.

>I vantaggi specifici, detto da uno che comunque si è solo limitato a
>leggere la documentazione (perché devo ancora capire come provarlo : non
>devi generare la chiave pubblica/privata, non devi importati la chiave del
>destinatario prima di scrivere, e non si basa su SMTP (anche se
>l'identificativo univoco "email" viene usata come salt).


Anche io sono d'accordo che l'interfaccia di enigmail (e di più o meno
qualsiasi cosa si basi su gpg) andrebbe resa meno antipatica, e non mi
sembra per nullo intrinseco in gpg essere complicato.
Certo, la gestione delle chiavi più "a basso livello", delle firme e
così via sarà sempre così com'è; ma sono convinto che si possa fare
un'interfaccia semplificata, del tutto analoga a quella che propone
nadim in minilock.

>- maggiore possibilità di veicolazione software fallato ad utenti che
>comunque ci credono inconsapevolemente. (ma questo significa, attacchi
>targettizzati, quindi già utenti protetti dalla mass survelliance (ah,
>forse non l'abbiamo mai esplicitato: la protezione dalla mass survelliance
>è lo scopo di tutta sta roba)


questo non mi pare un attacco targetizzato. O meglio, lo è se tu sei
_esterno_ al sistema del chrome web store. Ma se sei sufficientemente
vicino alla sorgente, può tranquillamente essere di massa.


Tornando ad essere un minimo più "ampi", mi piacerebbe (veramente!)
ricevere dei feedback (diretti o indiretti) di utenti che hanno
difficoltà ad usare gpg con enigmail. Non dei generici "l'interfaccia è
macchinosa", ma qualcosa di più specifico, che ci possa suggerire cosa
migliorare dove.

Qualcosa tipo: "il wizard fa troppe domande", o "la lentezza di
propagazione nei keyserver è irritante", "il send-key andrebbe proposto
nel wizard stesso", "la verifica del fingerprint andrebbe integrata con
l'invio delle mail".

Altrimenti è troppo comodo cercare di reimplementare tutto, male.

--
boyska