blaat - Bekend?

twigger.nl ken ik al jaren en is goed...

checkjemail.nl nog nooit van gehoord, maar dat gaat nu veranderen ;-)

zo, wat werkt dat progje fijn. Super handig als webmail provider. Ze gaan zelfs als ze genoeg kliks via googleadsense hebben upgreaden naar een pro versie.

De evaring die ik heb met twigger is dat op de accounts die je via hun laat lopen ongeveer 1 a 2x in de maand een spam mailtje krijgt. Tenminste dat gebeurde bij mij.

Ik heb geen enkele vertrouwen in dit soort zaken. Ik ga echt mijn password voor mijn mailacounts niet opgeven bij dit soort sites hoor. Het ziet er nu niet echt betrouwbaar uit, meer het projectje van een student ofzo. Welke zekerheid heb je dat ze goed om gaan met jouw passwords? Wat als dit "bedrijfje" binnen de kortste keren failliet gaat? Wat doen ze met de persoonsgegevens etc? Ik stel hier nog wel wat kanttekeningen bij. Ik vind de site er maar erg amateuristisch uit zien (alleen dat logo al). Dat passwords etc in md5 hashes word opgeslagen vind ik bv niet meer dan normaal. Maar hoe zit het dan met de e-mail tekst? Worden mail adressen niet verzameld en verkocht?

Als ik het goed begrijp log je in bij checkjemail.nl en vanuit daar kun je de pop boxen van andere providers lezen. De wachtwoorden van die pop boxen kunnen dan niet in een md5 hash worden opgeslagen simpelweg omdat hieruit het originele wachtwoord niet te herleiden is en de servers aan de "andere kant" (de pop boxen bij de providers etc) vrijwel allemaal met clear text (leesbare) wachtwoorden werken. Het opslaan met md5 hashes zal dus alleen voor het wachtwoord voor hun eigen systeem gelden.

Zelf hebben ze het bv over md5 encryptie van de bijlagen. Dat is leuk maar dan zou je dus de bijlages nooit meer terugkrijgen?

[ Voor 53% gewijzigd door Bor op 19-03-2005 11:40 ]

Bor_de_Wollef schreef op zaterdag 19 maart 2005 @ 11:25:

Dat passwords etc in md5 hashes word opgeslagen vind ik bv niet meer dan normaal.

Bij mij gaan juist alle alarmbellen rinkelen. Dit is gewoon onzin. Nadat het wachtwoord een keer door de md5 routine is gegaan heb je er niets meer aan, behalve dat je een origineel wachtwoord ermee kunt controleren. De md5 hash kan niet worden gebruikt om mail op te halen bij een pop3 server.

Maar hoe zit het dan met de e-mail tekst? Worden mail adressen niet verzameld en verkocht?

Als ik het goed begrijp log je in bij checkjemail.nl en vanuit daar kun je de pop boxen van andere providers lezen. De wachtwoorden van die pop boxen kunnen dan niet in een md5 hash worden opgeslagen simpelweg omdat hieruit het originele wachtwoord niet te herleiden is en de servers aan de "andere kant" (de pop boxen bij de providers etc) vrijwel allemaal met clear text (leesbare) wachtwoorden werken. Het opslaan met md5 hashes zal dus alleen voor het wachtwoord voor hun eigen systeem gelden.

Juist. En dus zal er ergens een andere vorm van encryptie moeten worden gebruikt. Een die terug te draaien is. Misschien wordt md5 gebruikt voor authenticatie bij checkjemail.nl, maar je wachtwoorden in de database moeten op niet al te lastige manier eruit te halen zijn. Toegang tot de server betekent waarschijnlijk dat al je wachtwoorden in handen komen van iemand anders. Bij md5 heb je daar nooit last van, omdat de hash dan wel bekend is, maar het originele wachtwoord nog niet. Dat kan namelijk gewoon niet in dit geval, tenzij bijvoorbeeld een md5 hash van je wachtwoord als sleutel wordt gebruikt. Daar zou ik dus graag meer over willen weten.

Zelf hebben ze het bv over md5 encryptie van de bijlagen. Dat is leuk maar dan zou je dus de bijlages nooit meer terugkrijgen?

Daar heb je inderdaad weinig aan.

Goed, gelukkig hoef ik zulke dingen niet te gebruiken. Maar had hotmail ook niet al jaren iets dergelijks? En hoort een beetje een provider geen webmail aan te bieden?

Verwijderd schreef op zaterdag 19 maart 2005 @ 12:22:
[...]

Bij mij gaan juist alle alarmbellen rinkelen. Dit is gewoon onzin. Nadat het wachtwoord een keer door de md5 routine is gegaan heb je er niets meer aan, behalve dat je een origineel wachtwoord ermee kunt controleren. De md5 hash kan niet worden gebruikt om mail op te halen bij een pop3 server.

[...]

Same here.. ze hebben niets aan een Md5 hash als ze je mail gaan controleren.. of je zou elke keer al je wachtwoorden in moeten geven, en dat lijkt me ook weer niet.

Verwijderd schreef op zaterdag 19 maart 2005 @ 12:22:
Toegang tot de server betekent waarschijnlijk dat al je wachtwoorden in handen komen van iemand anders. Bij md5 heb je daar nooit last van, omdat de hash dan wel bekend is, maar het originele wachtwoord nog niet. Dat kan namelijk gewoon niet in dit geval, tenzij bijvoorbeeld een md5 hash van je wachtwoord als sleutel wordt gebruikt. Daar zou ik dus graag meer over willen weten.

Je wilt juist niet dat ze de md5 hash van je wachtwoord als sleutel gebruiken voor andere wachtwoorden als ze de md5 ook in de database opslaan ter authenticatie. Een sleutel die op andere wijze (andere hash of md5 over het wachtwoord die een vaste transformatie/mutatie heeft ondergaan) is afgeleid van het wachtwoord is natuurlijk een optie. De wachtwoorden zijn dan alleen beschikbaar binnen een ingelogde sessie. Overigens is het gebruik van md5 heden ten dage in nieuwe systemen niet aan te raden.

Die md5 word vast alleen gebruikt voor het opslaan van het "master" password. Dat is ook wat ik bedoelde in mijn post.

Overigens is het gebruik van md5 heden ten dage in nieuwe systemen niet aan te raden.

Wat adviseer jij dan?

[ Voor 39% gewijzigd door Bor op 19-03-2005 12:34 ]

billg, aangezien dat "checkjemail.nl" een domein van jou zelf is, is dit dus pure spam. En dat is absoluut niet de bedoeling hier op GoT.

Je hebt het mooi geprobeerd de verdoezelen; en dat betekend dat je wist dat het niet mag. Controleer je email voor een Officiele Waarschuwing (OW).