11:15
11/1/2019

Czuję, że żyłka niektórym pękła po przeczytaniu tego tytułu ;) Ale już spieszę z wyjaśnieniami, dlaczego moim zdaniem warto korzystać z GMaila, jeśli chce się mieć najbezpieczniejszą skrzynkę e-mail w internecie. I dlaczego nawet osoby, które cenią sobie prywatność, powinny poważnie rozważyć wybór GMaila jako mniejsze zło.

Wielu jest dostawców poczty, ale który jest najlepszy?

Do napisania tego artykułu skłoniła mnie dyskusja, która wywiązała się pod naszym wczorajszym tekstem dotyczącym przekrętu na dowód osobisty i BLIK-a (Na marginesie, Pani Weronika odzyskała już wszystkie pieniądze, które wyblikowała przestępcy). Otóż w tamtym artykule poradziliśmy, żeby zadbać o bezpieczeństwo skrzynki pocztowej, bo od przejęcia skrzynki pocztowej zaczęła się kradzież przez BLIK-a. W tekście padły słowa, że GMail pod kątem bezpieczeństwa jest bezkonkurencyjny — oto dokładny cytat:

No i się zaczęło… W komentarzu pod artykułem, Czytelnik Kenjiro napisał, że:

(…) przeceniasz zabezpieczenia Google, bo taki sam poziom zabezpieczeń możesz osiągnąć na własnym Linuksie z Roundcube (również 2FA).

Na szczęście, ten sam Kenjiro potem szybko zauważył, że “to żadna opcja dla Kowalskiego“. No właśnie. Starzał w dziesiątkę! W tym problem, że większość internautów to Kowalscy, a nie nieposiadający prywatnego życia administratorzy, którzy mają czas, aby stale doglądać swój własny serwer pocztowy i dbać o to by regularnie wymieniać w nim psujący się sprzęt, usuwać inne usterki, a przede wszystkim na czas łatać dziury (abstrahując już od tego, że jeden administrator nigdy sam wiedzą i możliwościami nie dorówna firmie Google).

Na marginesie — “łatać na czas” dziś oznacza w ciągu 5 minut od ogłoszenia informacji o podatności, bo tyle czasu zajmuje przeskanowanie 0.0.0.0/0 specjalistycznym skanerem pod kątem jednego portu, np. serwera pocztowego. A to oznacza, że w 5 minut od wypuszczenia exploita, czyjś serwer pocztowy może już nie być czyimś serwerem pocztowym. Regularnie pokazuję to na naszym szkoleniu z Bezpieczeństwa Sieci Komputerowych i zawsze robi to na uczestnikach niemałe wrażenie. BTW: wpadnijcie na styczniową ową edycję tego szkolenia do Warszawy!

Kenjiro dalej w swoim komentarzu sugeruje, że dla GMaila są alternatywy i przytacza często przywoływanego w tej sytuacji Proton Maila. Żeby było jasne. Proton to bardzo dobra usługa, ale… pod katem bezpieczeństwa z GMailem przegrywa (i trochę kłamie, że jest “bezpieczna”) a żeby na poważnie z niej korzystać, trzeba kupić konto premium. Szczerze mówiąc, jak ktoś chce już płacić za e-maila, to lepiej niech płaci Fast Mailowi. On, podobnie jak GMail, wygrywa z Protonem pod kątem bezpieczeństwa, a nie jest GMailem, co oznacza, że można liczyć na większą prywatność.

Do (braku) prywatności GMaila jeszcze wrócimy — teraz jednak skupmy się na tym, co jest dla większości Kowalskich ważniejsze — na bezpieczeństwie. Bezpieczeństwie rozumianym jako “źli hakerzy nie ukradną mi tożsamości, ani danych, ani pieniędzy“.

No dobra, ale dlaczego ten GMail jest bezpieczniejszy?

No to po kolei:

  1. GMail ma dedykowany, pracujący 24 godziny na dobę zespół naprawdę doskonałych inżynierów i specjalistów do spraw bezpieczeństwa, którzy profesjonalnie dbają o tę usługę. Twój prywatny serwer pocztowy może o takiej opiece tylko pomarzyć (kiedyś chyba śpisz, prawda?). Dodatkowo, Google, przez to że jest dużym graczem, o błędach i dziurach dowiaduje się wcześniej niż inni (por. Hartbleed), a czasem wie o nich od razu, bo wiele z błędów zagrażających internetowi samodzielnie znajdują pracownicy tej firmy (por. Meltdown i Spectre). Niewiele firm może sobie pozwolić także na prowadzenie takiego Bug Bounty jak Google, które także ma ogromny wpływ na bezpieczeństwo GMaila. W skrócie, z zasobami, kadrą, wiedzą, kontaktami i możliwościami Google równać może się tylko Microsoft (nawet niezła poczta, ale brak działajacego wsparcia dla U2F) lub Apple (słaba poczta).
  2. GMail wie. Wie dużo, bo widzi większość e-maili krążących po internecie. Obecnie aktywnych jest półtora miliarda kont na GMailu. To ok. 20% ludzi na świecie (nie internautów, ludzi!). Wgląd w ich e-maile powoduje, że Google szybko jest w stanie zauważyć ataki i kampanie spamowe. I dlatego w tej społeczności tak dobrze działa antyspam. Oflagowanie e-maila jako “złego” przez pewną liczbę użytkowników, automatycznie blokuje go wszystkim użytkownikom, czyli momentalnie chroni półtora miliarda ludzi. Dzięki temu właśnie, a także dzięki pomocy heurystyki i wbudowanych silników antywirusowych, GMail świetnie wykrywa podejrzane e-maile i załączniki. I jako jedyny tak wyraźnie ostrzega użytkowników przed zagrożeniami. Oto kilka konkretnych przykładów, dlaczego GMail rządzi:

     

    A. Oznaczenie podejrzanej wiadomości, która ma cechy uznawane przez innych jako “atak”

    B. Uwaga na szyfrowany załącznik (możliwa próba obejścia antywirusów)

    C. Ostrzeżenie użycia innego niż zazwyczaj e-maila przez znanego nadawcę

    D. Ostrzeżenie, kiedy wiadomość pochodzi z zespoofowanego adresu e-mail

    E. Ostrzeżenie przy “awarii” skanera antywirusowego dla załączników

    F. Oznaczenie spamu, nawet jeśli został przekierowany do inboksa przez reguły sortowania

    G. Ostrzeżenie, że odpowiedź do adresata nie zostanie przesłana szyfrowanymi łączami (jest możliwa do podsłuchania w internecie, na trasie od serwerów GMaila do serwerów pocztowych odbiorcy)

  3. GMail wspiera dwuetapowe uwierzytelnienie poprzez tokeny U2F. To szalenie ważna, jeśli nie najważniejsza funkcja. Jeśli kupisz i podepniesz token U2F do swojego konta Google, to nikt — ani rosyjscy hakerzy, ani przestępcy — nie będzie Cię w stanie zaatakować najskuteczniejszym, najtańszym i najpowszechniejszym obecnie atakiem w internecie: phishingiem. Nawet jeśli w chwili tymczasowego ogłupienia czy upojenia alkoholowego ujawnisz swoje hasło (albo ktoś je pozna na skutek wycieku z innego miejsca), to nikt, kto nie posiada w ręku Twojego tokena U2F nie zaloguje się na Twoje konto.
    YubiKey

    YubiKey, jeden z tokenów U2F

    I nie, dwuetapowe uwierzytelnienie realizowane przez SMS lub aplikacje Google Authenticator albo Prompt nie chroni przed phishigiem — tak skonfigurowany drugi krok da się obejść — jakie to proste, pokazuję na wykładzie Jak nie dać się zhackować? — warto wpaść i zobaczyć, bo oprócz tego przez 3h przekazuje też inne przydatne każdemu internaucie informacje. W tym roku będę z tym wykładem w wielu miastach — zapraszam!).

    Osobiście uważam, że U2F to najważniejsze i obowiązkowe ustawienie mające wpływ na bezpieczeństwo, które każdy z użytkowników GMaila powinien natychmiast włączyć — przeczytajcie ten artykuł aby dowiedzieć się dlaczego. Protonmail zaś nie ma wsparcia dla U2F, w Outlooku wsparcie nie działa u wszystkich, a w Fastmailu wsparcie jest, ale trzeba za nie zapłacić.

  4. GMail ma Advanced Protection. Jeśli go włączysz to będziesz chroniony przed “spersonalizowanymi atakami” i wtedy Twojego konta na GMailu zabezpieczonego tokenami U2F nie będzie się dało obejść socjotechniką “helpdesku” (por. Jak Amazon pomógł zhackować Apple ) ani formularzem “zapomniałem mojego hasła” i odpowiedziami na pytanie jaki jest nasz ulubiony kolor. Polecam włączyć wszystkim “ważniejszym” celom, czyli dziennikarzom, celebrytom — generalnie VIP-om. Potrzeba co najmniej 2 różnych tokenów U2F.
     

    Po włączeniu “Advanced Protection” warto usunąć z konfiguracji swojego konta numer telefonu. To uniemożliwi “wymuszenie” logowania przez kod SMS. Jeśli nie odepniesz numeru, ktoś kto jest w stanie odczytywać Twoje SMS-y, bo ma dostęp do Twojego komputera (z którym synchronizujesz SMS-y) lub uzyskał duplikat Twojej karty SIM, może być w stanie ominąć okno proszące o klucz U2F podczas logowania i uzyska dostęp do Twojej skrzynki e-mail.

    W zależności od stopnia Twojej paranoi, możesz też usunąć alternatywny adres e-mail — ale jeśli chcesz go zostawić, to sugeruję, aby był to adres równie mocno zabezpieczonej innej skrzynki na GMailu.

Google ma jeszcze wiele innych podnoszących bezpieczeństwo funkcji, jak choćby “Confidencital Mode” (czyli zaszyfrowane i autokasujące się wiadomości — choć nie warto ufać, że odbiorca rzeczywiście taką wiadomość skasuje, a Google nie pozna jej treści):

Są też “Application Passwords” i granularny model uprawnień/dostępów do konta Google, logi dostępu, podejrzenie aktywnych sesji z różnych urządzeń, ale nie będę się już na nich skupiał. Aby przez nie wszystkie wygodnie przejść i odpowiednio skonfigurować pod siebie najlepiej kliknąć na tzw. Security Checkup.

No ale przecież Google czyta moje e-maile!

Zawsze kiedy polecam komuś GMaila, zwracam uwagę na to, że o ile miażdży on konkurencję pod kątem bezpieczeństwa (rozumianego jako ochrona użytkownika przed atakami i ochrona użytkownika przed samym sobą) to podejście firmy Google do prywatności może nie wszystkim przypaść do gustu. I to jest smutna prawda związana z większością darmowych usług.

Jeśli coś jest za darmo, to zazwyczaj płacimy za to swoimi danymi

Nie inaczej jest w przypadku GMaila. Google jest firmą zarabiającą na reklamach. Potrzebuje dobrze znać swoich użytkowników, bo dzięki temu może opracowywać lepsze metody ich profilowania, dzięki czemu może lepiej trafiać reklamami w ich gusta. A im więcej dopasowanych reklam, tym większy zarobek dla Google i szczęśliwsi reklamodawcy i większe budżety reklamowe czyli znów większy zarobek Google.

Przykład: Tak, to prawda, że Google wyczyta z e-maila z podsumowaniem zamówienia, jaki trafił na Twojego GMaila, że właśnie kupiłeś wszystkie płyty Comy. Ale bez obaw, nie będzie Cię tą informacją szantażować i nie ujawni tego wstydliwego faktu Twoim znajomym. Zacznie Ci jednak wyświetlać reklamy innych kiepskich zespołów pop-rockowych ;)

Jeśli chcesz sprawdzić, o jakich Twoich zakupach wie Google, przejdź na tę stronę, a zobaczysz listę podobną do tej:

i po kliknięciu na dany zakup informację “skąd Google o nim wie”.

Google zależy na tym, abyś widział dopasowane reklamy. I — co może być niespodzianką dla niektórych naszych Czytelników — niektórzy ludzie lubią widzieć dopasowane reklamy. Nie mają nic przeciwko temu, że Google “zbiera” na ich temat informacje i wykorzystuje je do dopasowywania reklam! Wolą dopasowane reklamy bardziej niż kolejny banner z tabletkami na mocny konar albo suchość pochwy. Dla nich GMail na pewno będzie wyborem typu Win-Win.

Mimo to, uważam że ważne jest, żeby Ci “akceptujący GMaila” ludzie wiedzieli ile i jakie informacje są na ich temat zbierane przez Google i żeby byli świadomi konsekwencji profilowania. Dlatego dla tych, którzy są zadowoleni z GMaila i będą z niego korzystać dalej, ale nie wiedzą jakie dane na ich temat Google posiada przygotowałem następny rozdział. Rozdział ten będzie także użyteczny dla tych, którzy chcą z GMaila korzystać, ale nie chcą aby “Google ich szpiegowało“.

Co Google zbiera na mój temat i jak wyłączyć profilowanie?

Niezależnie od tego czy przejmujesz się tym, co Google zbiera na Twój temat, czy nie, to warto przynajmniej raz w życiu przejrzeć jak zaszufladkowała Cię ta firma na podstawie danych, które jej przekazujesz. Zrobić to możesz wchodząc w te ustawienia. Najlepiej od razu przejrzyj ten widok zbiorczy i przeklikaj się przez tzw. “Privacy Checkup“. Dzięki temu dowiesz się, czy Google:

Wszystkie z tych źródeł danych, które pozwalają Googlowi Cię profilować możesz wyłączyć, a samym profilowaniem reklam możesz sterować na tej stronie. Tam też zobaczysz też jakie kategorie odnośnie wieku, płci i zainteresowań przypisało Ci Google:

Warto też popatrzeć na to co wiedzą o Tobie inne firmy reklamowe, nie tylko Google. Sprawdzisz to tutaj.

Ustawieniem “profilowania reklam” możesz też sterować za pomocą tych dwóch rozszerzeń do przeglądarek (Opt-out, Protect my choices). A to czy Twoje ustawienia prywatności działają tak jak chcesz, sprawdzisz w tej wygodnej przeglądarce “Aktywności”, która pokazuje wszystko co Google nagrało danego dnia na Twój temat:

Jeśli nie wierzysz, że to już wszystko, co Google wie na Twój temat (podoba mi się jak myślisz!), to możesz ściągnąć całość danych udostępnionych Google przez Ciebie i Twoje urządzenia i przejrzeć je ręcznie w poszukiwaniu innych informacji, do których firma ma dostęp. Załóż że z każdej z nich może zrobić jakiś użytek i że każda z nich może kiedyś wyciec (por. Google “zataiło” dziurę, która umożliwiała dostęp do prywatnych danych 500 000 użytkowników) ). Ale pamiętaj, że jeśli te dane powierzysz komuś innemu, z jego serwerów też mogą wyciec…

Brutalna prawda

Teraz już wiesz, ile informacji Google zbiera na Twój temat. Potrafisz też Googlowi zamknąć oczy (wyłączając dostęp do informacji, które zostawiasz w jego serwisach). Pora odpowiedzieć sobie na ważne pytanie:

Czy wierzysz, że Google respektuje Twoje ustawienia prywatności i faktycznie “ignoruje” strumienie danych, które wyłączyłeś?

Jeśli wierzysz, to super! Możesz już być szczęśliwym użytkownikiem najbezpieczniejszej poczty, GMaila. Jeśli masz powody, aby Googlowi nie ufać i uważasz że spośród półtora miliarda użytkowników GMaila, ktoś z pracowników firmy będzie się dokładnie przyglądał właśnie Twoim danym, to …nie korzystaj z usług Google. Rozumiem taki wybór, szanuję go i pochwalam daleko posuniętą ostrożność stawianą wyżej niż wygodę.

Odpowiedź na to pytanie powinna być wynikiem tzw. Analizy Ryzyka. Nie jest to proces łatwy i większość ludzi, niestety, go nie stosuje. A powinno… W skrócie, nie ma uniwersalnie dobrych decyzji. Coś co pasuje i odpowiada jednej osobie, niekoniecznie musi być idealne dla drugiej. Dlatego — w kontekście bezpieczeństwa — warto sobie zawsze odpowiedzieć na co najmniej dwa pytania.

1. CO dla mnie jest najważniejsze (jakie dane? Ich poufność, a może szybkość i wygoda w dostępie do nich?)
2. PRZED KIM muszę chronić wartości ustalone w pkt. 1?

Jeśli na pierwsze pytanie nie odpowiedziałeś “Prywatność! Poufność! Prywatność!” a na drugie “Google lub służby specjalne, które mają dostęp do serwerów Google przez pracowników-agentów”, to GMail powinien być dla Ciebie dobrym wyborem.

Pamiętaj też, że…

nawet jeśli przestaniesz korzystać z GMaila, to GMail nie przestanie korzystać z Ciebie

Możesz założyć skrzynkę pocztową na Protonie, Fastmailu, albo Onecie. Możesz ją trzymać na RaspberryPi schowanym pod łóżkiem. Ale przed GMailem nie uciekniesz. Jak pokazują statystyki budowane na podstawie wycieków baz danych z polskich serwisów, ok. 40% użytkowników polskiego internetu ma GMaila. To oznacza, że prędzej czy później będziesz z nimi korespondował …a zatem Google będzie znało treść Twoich e-maili, choć Ty przecież nie masz u nich konta!

Brutalna prawda jest więc taka, że jeśli nie chcesz płacić za skrzynkę e-mail, np. FastMaila i zamierzasz wymieniać e-maile z kimś więcej niż Twoim kolegą poznanym na kursie Assemblera, to prędzej czy później trafisz na kogoś, kto ma GMaila lub telefon z Androidem i mimo wszystko będziesz skazany na profilowanie. Google będzie przetwarzało Twoje dane.

Jak widać, ucieczka przed Googlem jest w obecnym internecie dla większości osób z góry skazana na niepowodzenie. Możesz oczywiście próbować korzystać z innych skrzynek e-mail (szacunek za postawę i wytrwałość!). Zastanów się tylko czy warto, bo (co w sumie jest bardzo smutne) żaden inny dostawca poczty póki co mechanizmami bezpieczeństwa i szybkością reagowania na ataki nie dorasta GMailowi do pięt. GMail, pod kątem bezpieczeństwa, jest najbezpieczniejszy i bezkonkurencyjny.

PS. Ale do częstej komunikacji między osobami i tak najbezpieczniej używać Signala. Szyfrowanie punkt-punkt, treści i metadanych.

Dotrwałeś do końca? To chyba lubisz tematy związane z bezpieczeństwem. Jeśli chcesz dowiedzieć się jak prosto i za darmo zabezpieczyć także inne kwestie Twojego internetowego życia, to wpadnij na mój wykład pt. “Jak nie dać się zhackować?

Na tym wykładzie przez 3 godziny opowiadam prostym i zrozumiałym na co rzeczywiście trzeba uważać korzystając z internetu na komputerze i smartfonie, a co jest “wyimaginowanym zagrożeniem”. Pokazuję też jak za pomocą darmowych aplikacji i prostych zmian ustawień swojego telefonu i komputera (lub kont internetowych) znacząco podnieść swoje bezpieczeństwo i ochronić nie tylko dane, tożsamość ale i pieniądze na koncie w internetowym banku. Każdemu uczestnikowi gwarantuję opad szczęki, bo w trakcie wykładu na żywo pokazuję kilka widowiskowych ataków hackerskich — od wysyłania podrobionych e-maili i SMS-ów w czyimś imieniu, przez podglądanie ludzi przez kamerkę aż do podsłuchiwania telefonów. Mój wykład zrozumie każdy, nawet osoby nietechniczne. Zarówno Ty jak i Twoi rodzice wyjdziecie bezpieczniejsi z tego spotkania. Najbliższe lokalizacje i terminy wykładu poniżej:

W roku 2018 przeprowadziłem 15 takich wykładów w 8 miastach i przeszkoliłem 2,5 tysiąca osób, które oceniły wykład na 9.3/10 i w większości zostawiły komentarz, że “wszystko im się podobało” i że był to “najlepszy wykład na jakim byli w całym swoim życiu“. Jestem z tego bardzo dumny! Jeśli chcesz dołączyć do grona lepiej zabezpieczonych Polaków, to wejściówkę kupisz tutaj.

Przeczytaj także:

276 komentarzy

Dodaj komentarz
  1. Czy jeśli w mojej firmie nie zależny mi na profilowaniu i wystawianiu reklam przez google to czy dobrą praktyką byłoby przekierowanie poczty z mojej domeny firmowej test.pl na e-mail google w celach lepszej weryfikacji spam, wirusów itp. ogólnie lepszego bezpieczeństwa niż zarządzać swoim serwerem pocztowym? Tak tylko wymyślam minimalizując koszty ;)

    • Nie tyle przekierowanie poczty, co przeniesienie usługi do G Suite.

    • Podpinam się pod pierwszy komentarz żeby wszyscy zobaczyli. Po pierwsze, chyba brakuje tagu “artykuł sponsorowany”, po drugie pan Konieczny zdrowo sobie pojechał tutaj. E-mail z szyfrowaniem end-to-end (Proton, ale też np. Tutanota) vs. coś co nie ma tej funkcjonalności a na dodatek jeszcze skanuje e-maile, ale nie pod kątem wirusów ale haseł żeby zaserwować reklamy/poinformować wujka Sama żeby nas do samolotu nie wpuszczali bo chcemy cioci przywieźć szybkowar w plecaku.

      Jak ktoś jest debilem, to nawet ostrzeżenie wielkimi literami nie pomoże, nawet jak będzie opisane dokładnie to co dany wirus ci zrobi, taki delikwent to i tak przeklika. Nie pomoże nawet zablokowanie przez AV, bo taki debil zablokuje go/doda wirusa do wyjątków no “bo na pewno to fałszywy pozytyw a trzeba fakturę przeczytać”.

      W skrócie Google nie naprawia tego co trzeba, bo tutaj (podobnie jak w 90% wypadków związanych z szeroko rozumianym IT) problem istnieje między krzesłem a klawiaturą, nie w oprogramowaniu czy sprzęcie. Trzeba ludzi edukować, a jak to nie pomoże wysyłać do Amiszów bo tylko sobie krzywdę zrobią tą całą technologią.

    • W sumie tak zrobiłem. Bez przenoszenia na gsuite. Możesz ustawić przekierowanie poczty na adres na Gmail. Następnie nakarmić Gmaila danymi SMTP do Twojej domeny i z niej wysyłać wiadomości.

    • W całym tym artykule brakuje informacji nt. zagrożeń związanych z wywiadem amerykańskim. Wiele przecieków i oficjalnych ustaw USA wskazuje, że wszystkie dane osób spoza USA (przynajmniej oficjalnie) nie tylko gmaila są skanowane przez amerykańskie służby. Dostęp do tych danych poprzez PRISM ma 1,2 mln osób i instytucji, nie tylko z USA.
      Jest to ogromnym zagrożeniem dla znaczących firm (wyciek tajemnic R&D, kontraktów itd.), ale również dla instytucji państwowych. Jest również zagrożeniem dla ich pracowników, bo z tych danych można pozyskać sposoby na zmuszenie do współpracy, czyli zdrady.
      Oprócz tego, dostęp do “Big data” dot. obywateli danego państwa, daje ogromne możliwości analizy i wpływania na jego politykę, gospodarkę itd. dla powiązanych ze służbami głównie USA, ale i Kanady, Australii, Nowej Zelandii, GB i Izraela.
      Czy fakt przewagi technologicznej googla jest wystarczający, by dawać mu wszystko na tacy?
      Jeśli już musisz korzystać z gmaila, zainstaluj sobie szyfrujące wtyczki jak FlowCrypt, choć ten fakt też zostanie odpowiednio potraktowany przez służby.
      Niezależnie do sympatii do niebezpiecznika, dziwi mnie, że z uporem maniaka ignoruje on zagrożenia najpoważniejsze.

    • Dla kogo najpoważniejsze? To jest klucz do zrozumienia artykułu. Różni ludzie mają inne modele zagrożeń i wedle nich powinni sobie dobierać usługi.

    • @zygmunt
      Ile jeszcze razy to w komentarzach musi pasc że niebezpiecznik o niczym nie zapomnial, a po prostu zasugerował każdemu aby samodzielnie zrobić analizę ryzyka czyli zidentyfikować zagrożenia które w jego przypadku są istotne i świadomie podjąć decyzję na ich podstawie.

      Więc jeśli dla ciebie służby USA są zagrożeniem to wiesz co robić, nie zakładać konta o czym jasno i wprost niebezpiecznik pisze. Tylko trzeba doczytać do końca;]

    • Po pierwsze wszystkim, którzy piszą, że google kradnie proponuję zacząć czytać regulaminy. Oni nie kradną a dają usłógę w zamian za nasze dane a precyzyjniej za możliwość ich wykorzystania w określony sposób.

      A teraz łyżka dziegciu.. A co drogi Piotrze? Kowalski, a i owszem niech korzysta, ale co z firmami? Mogą nie mogą? Podpisze ktoś z nimi umowy?
      @Paweł, zanim się przerzucisz na gmail sprawdź sprawę rodo.

      Druga sprawa to bezpieczeństwo. Niedawno google zaliczyło wpadkę, o której wspominacie. A więc jednak coś nie pykło a oni wcale tacy bezpiecznie nie muszą być. TO jak to jest?

      I dróga sparaw

    • Celowo nie poruszałem w artykule kwestii “firm”. Uważam, że “firmowego” modelowania zagrożeń nie da się zamknąć w jednym artykule. To powinna być świadoma i o wiele bardziej złożona analiza ryzyk, kosztów i zalet. Długie spotkania i godziny dyskusji, jeśli ktoś chce “dobrze” wybrać. W przypadku firm często też, “dobrze” nie będzie znaczyło “bezpiecznie” i firmy się na to godzą. Więc w kontekście firm: każda firma musi sam a podjąć decyzję — ja bym sugerował jedynie aby sprawdzone i przeanalizowane przez firmę zostały zarówno rozwiązania w “chmurze” jak i on-site różnych dostawców.

    • @Rokki – fakt, niebezpiecznik zaleca analizę ryzyka i wylicza wcześniej dość szczegółowo (jak na artykuł) zagrożenia, o których większość użytkowników nie ma pojęcia, ale rzecz w tym, że brak w tym tych zagrożeń, o których napisałem. Tego wymaga rzetelność.

    • Piotrze, szczeże liczyłem na odpowiedź rozwiewającą, choć cień niepewności:D:D:D
      Wielokrotnie mała firma to niemal osoba prywatna. Szanse na sensowne zabezpieczenie czegoś tak delikatnego jak poczta ma niewielkie.
      Taki gmail jawi sie świetnym pomysłem, bo jak napisałeś ma swoje niepodwarzalne zalety których większość maluczkich nie ma szans osiągnąć nawet jak zatrudni genialnegoinformatyka który będzie znał się na wszystkim :D:D:D.
      Niestety przepisy tu sa dość rygorystyczne a google średnio się chce do tego odnieść. Zresztą MS również jakoś tak unika tematu.
      Myślałem, że macie rozpracowany problem i podzielicie się jakąś analizą :D

    • Niestety, problem rozpracowujemy pod konkretny przypadek w ramach konsultacji. Wybór poczty (i skojarzonych usług) to dość istotny wybór. Warto wiele rzeczy przemyśleć, zanim się z kimś zwiążesz, bo jak źle wybierzesz, to trzeba będzie migrować, albo tracić dużo czasu na “zarządzanie”.

  2. Bardzo ciekawy i rzetelny wpis, dzięki! Czytając go naszły mnie jeszcze takie spostrzeżenia, że przecież inni dostawcy poczty równie dobrze mogą kolekcjonować dane – Google przynajmniej się przed tym nie kryje, co paradoksalnie powinno stawiać ich w lepszym świetle.

    Zastanawiam się, jak ma się opisane bezpieczeństwo Gmaila do płatnych skrzynek pocztowych? Czy wspomniany FastMail prześcignie darmowego gmaila?

    • Google to agencja reklamowa prowadzaca serwis email. Inni dostawcy skrzynek email nie siedza w reklamie.

  3. Ciekawy artykuł. ale nie zgodzę się z tym że Coma to kiepski zespół :)

    • Akurat z tą spośród postawionych w artykule tez nie da się w żaden sposób dyskutować :P

  4. A jak oceniacie bezpieczenstwo Outlooka/Hotmaila od MS?

    • Bardzo podobnie, z tym że nie obsługują jeszcze dongli sprzętowych do logowania… podobno WIP, tylko że tu jest ciężko, bo logowanie MS to nie prosta baza danych userów w jednym miejscu, tylko cały system federacji tożsamości, domen i innych danych między odrębne instancje AD/AAD, niektóre korzystające ze “swoich” SSO, inne ze zwykłego microsoftowego “ekranu wpisywania hasła” po prostu gadającego z lokalnymi bazami po Kerberosie, no i w końcu część userów ma właśnie konta hostowane, “konsumenckie”. Tego jest pieruńsko dużo i to w różnych wersjach, a MS też się nie opłaca z dnia na dzień zmienić wszędzie algorytmów, bo wysypie to ponad 75% wszystkich połączonych z usługami chmurowymi MS serwerów AD i dopiero zaczną się lamenty adminów czy kierownictwa niejednej korpo.

  5. W sumie racja, czyli : trafiony zatopiony;)

  6. mogę liczyć na jakieś opracowanie gmail vs outlook pod tym kątem? :)
    bardzo cenię sobie w outlooku darmowe aliasy (mogę dodać tymczasowy alias na potrzeby jakiegoś ogłoszenia na przykład) czy wręcz stworzyć alias, który będzie używany wyłącznie do logowania, nieudostępniony nigdzie i nikomu (ok, to trochę security by obscurity, jednak czasami może oszczędzić nerwów…)
    można też zrobić osobne aliasy do różnych poziomów ważności kontaktu: dla ludzi, różnych-dziwnych-serwisów i dla tych ważnych
    i nadal nad wszystkim panować w jednej skrzynce, bez zawodnej synchronizacji wielu kont itp.

    no i do tej pory nie miałem na outlooku żadnego dziwnego smapu, a na gmailu trafiły się maile bez adresu nadawcy chociażby :)

    • “Obecnie aktywnych jest półtora miliarda kont na GMailu”
      no i w tym rzecz właśnie, ja mam w tej chwili 3, na które dość regularnie się loguję, a to bo potrzebowałem bardziej “wyjściowego” adresu, a to służbowe… wygodne to to nie jest

    • na dwóch kontach, których obu używam do zakupów “Nie masz żadnych zakupów”
      hm…

    • Na gmailu też możesz do woli tworzyć aliasy dynamicznie i je potem filtrować. Wystarczy do swojego adresu dodać “+alias@gmail.com. Czyli:
      jankowalski@gmail.com
      jankowalski+sklep1@gmail.com
      jankowalski+niebezpiecznik@gmail.com
      i tak wszystko dociera do Ciebie. Potem już tylko “utwórz filtr” w Gmailu i gotowe.

    • Te z Outlooka są jednak lepsze bo mogą (jeśli dobrze pamiętam) nie zawierać loginu. Jak ktoś zły, to Gmailowy alias “skoryguje” i nie dowiesz się skąd wyleciał adres.

    • Webmail w Outlook to tragedia tragedii i tylko szkoda nerwów. Tutaj Gmail jest zdecydowanie lepszy. Co do aliasów to w Gmail masz tak:

      konto@gmail.com
      i jak chcesz alias to robisz
      konto+allegro@gmail.com

    • @kostarika
      no nie wiem, webapka gmaila była tragiczna jeszcze przed ostatnią aktualizacją, a teraz to działa tak samo koszmarnie jak wygląda
      a “aliasy” z plusem może i do rejestracji jako-tako się nadają (chociaż na miejscu jakiegokolwiek “zbieracza” automatycznie bym te dopiski jak i kropki usuwał), ale w outlooku możesz mieć dowolny dostępny alias i możesz tylko wybranych używać do logowania, “trochę” lepiej się sprawdza do adresów kontaktowych

    • “Aliasy z plusem” to jest standard pocztowy (RFC 3598), a nie coś co działa tylko na g****mailu. Zadziała na każdym dobrym hoście mailowym i zarówno Postfix jak i Exchange (od wersji 2007 naprzód) obsługują je defaultowo.

  7. Tak to prawda, zwykły użytkownik jest skazany na parszywą pocztę i usługi jeśli chce mieć je bezpłatnie. Dlatego wszystkim polecam, żeby wybrali sobie usługi płatne.

    Jakiś czas temu, uruchomiłem sobie swój komunikator. Stworzyłem konta dla najbliższych, to mi wystarczy. Szybki, bezpieczny ( na tyle na ile jest bezpieczna usługa ), bez posłuchu.
    Cześć usług już mam swoje, inne czekają na zmianę. Myślę, że prywatność jest równie ważna co bezpieczeństwo.

    Za 20 lat nie wiadomo do czego te dane będą wykorzystywane, możliwe, że do podziału klasowego, kwoty ubezpieczenia, itp.

    • Wygodne to jest dla Ciebie, bo masz tam swoich bliskich. Natomiast oni muszą korzystać z różnych platform. Jedna do komunikacji z Tobą inna do komunikacji z ludzi spoza Twojego kregu.

    • Znam takich ananasów, stękają jak to bezpiecznie i fajnie bez gmaila lub fejsa.

      Ale nie widzą tego, że KAŻDY projekt grupowy wiąże się z marnowaniem czasu i nerwów na informowanie tego pacana osobnym kanałem komunikacji o wszystkich ustaleniach.
      Folgujesz swojej paranoi kosztem innych.

    • Jak używacie FaceBooka jako narzędzia komunikacji grupowej w projektach, to się nie dziwię, że wszyscy są sfrustrowania :D

    • Zgodzę się całkowicie. Grupy na FB do komunikacji taskowej nie nadają się zupełnie. Polajkujesz post z końca feedu i wlatuje na górę jako “ten z najnowszą akcją”… parę komentów i robi się bajzel pt. “gdzie jest post z dzisiaj”.
      Do tasków od zarania dziejów z powodzeniem korzysta się z list mailowych i będzie się korzystać jeszcze dłuuuuuuugo :)

  8. A mailbox.org?

    • Właśnie. Dziwi mnie, że w artykule kilka razy pada Fastmail który jest usługą pochodzącą z Australii i w kwestii prywatności jest mocno dyskusyjna (oczywiście przy google to spoko), ale jeżeli już coś podpowiadacie to dużo lepszym wyborem będzie mailbox.org.

  9. Prywatna poczte we wlasnej domenie trzymam na wlasnym serwerze w firmie ojca/brata. Gmaila uzywam tylko dlatego, ze musze miec konto na potrzeby Androida. Jakby przestalo dzialac to bym zalozyl nowe bez zalu. Do rejestracji na forach, grupach mailowych uzywam WP, ktore jest tyle lepsze od Gmaila, ze pozwala na zalacznik o wielkosci 100MB. Tak czy inaczej plikami sie dziele uzywajac NaxtCloud-a uruchomionego tez na wlasnym serwerze.

    • Można mieć konto Google bez GMaila. Albo usunąć GMaila z już założonego konta Google.

    • No te załączniki gmail to przypominają mi czasy liceum. 25MB na załącznik jest zwyczajnie za mało od około 15 lat.

    • Przecież jak załączasz +25MB to z automatu wystawia Ci przez GDrive.

    • Mam identycznie tylko że na malince. Nextcloud wolno chodzi

  10. Ale Come to tyt szanuj! =D

  11. A co powiecie o Office 365 ? tam też jest MFA, ja mam zero spamu całkiem sprawny Office 365 ATP (nie idealny ale całkiem ok) itd.. ? Ktoś coś ?

    • MFA jest, ale nie ma działającego powszechnie U2F (o czym jest w artykule), czyli dalej da się phishingować. Nie kojarzę też tak rozbudowanego systemu wizualnych ostrzeżeń jak w GMailu – ale może coś ostatnio się zmieniło?

    • Ostrzeżenia wizualne… może zaraz zrobimy wersję dla daltonistów, dla dyslektyków i jeszcze pierun wie dla kogo? Niech się ludzie czytać uczą, od tego są komunikaty.
      Przyzwyczajajmy dalej userów do bezmyślnego klikania “dalej, dalej, dalej”, to będziemy baaardzo szczęśliwi, gdy znajdziemy komputer bez wirucha. #PokolenieRTFM

  12. Podsumowując – gmail zbiera od groma danych, ale obiecuje, że nie użyje ich inaczej jak do reklam. Mniejsi dostawcy poczty nie zbierają niczego poza mailami, ale włamanie na takie konto ma mieć gorsze skutki niż na konto gmaila. Mimo, iż część maili z alternatywnego serwerka trafi do gmaila.

    Inaczej mówiąc, lepiej od razu majty w dół, niż chodzić z listkiem figowym?

    A co, jeżeli to właśnie treść maili ma znacznie niższe znaczenie strategiczne niż to, gdzie i kiedy przebywamy, gdzie kupujemy, jemy, gdzie się logujemy? W mailu do ciotki napiszę “dziś byłem w galerii handlowej”, a telefon z samej lokalizacji wyciągnie dużo dokładniejsze dane.

    Albo odwrotnie – cóż mi z super bezpiecznego konta, które może być znacznie łatwiej zinwigilowane przez jakichś smutnych panów, bez mojej wiedzy, albo gdy na podstawie moich maili/danych lokalizacyjnych określany jestem jako potencjalny figurant jakichś kartotek dla nie podążających za obowiązującymi trendami w światopoglądzie, polityce, albo łamiących demokracje poprzez demokratyczne wybieranie opcji niesłusznych?

    Czyż nie na tej samej zasadzie działają banki, że obiecują bezpieczne trzymanie pieniędzy, pod warunkiem ich wyciekania w stronę usługodawcy na podstawie ciągłych zmian regulaminów?

    Gmail jest wygodny jak nic innego. Ale wygoda to nie bezpieczeństwo, tylko pielęgnacja lenistwa. I nie, nie jestem freakiem, który co chwilę sprawdza bezpieczeństwo. Ja tylko bardziej obawiam się tych, którzy uspokajają, że są super bezpieczni niż tych, którzy uczciwie mówią, że są niedoskonali.

  13. Taki gmail mondry a obce maile z prywatnymi wiadomosciami przysyla. Kiedys mozna bylo rejestrowac adres email z kropka i bez (imie.nazwisko) a teraz jakos to przestalo miećc znaczenie… i klops

    • To chyba jest jedna z naprawdę starych miejskich legend. Wiele razy słyszałem, ani razu nie byłem w stanie potwierdzić. Te przypadkowe e-maile, które ludzie dostają dla osób o takim samym albo podobnym nazwisku są wynikiem tego, że gdzieś albo ktoś źle wpisał swojego e-maila, zamiast jankowalski@wp.pl podał jankowalski@gmail.com albo ktoś (z obsługi klienta) źle tego maila przepisał z formularza i “podświadomie” zamienił wp.pl na gmail.com bo sam ma tam konto i mu się tak napisało. Setki takich historii znam. To nie znaczy, że jan.kowalski@gmail.com ma wpadać w panikę, że są 2 różne skrzynki. Bo ich nie ma. Niech jan.kowalski@gmail.com wpisze w formularzu logowania do GMaila jankowalski@gmail.com i swoje haslo — i niech sprawdzi gdzie się zaloguje.

    • Nigdy Gmail nie traktował kropki jako znaku zarezerwowanego.
      Jan.kowalski j.ankowalski i Jankowalski to dla Googla jeden i ten sam login.

    • > To chyba jest jedna z naprawdę starych miejskich legend. Wiele razy słyszałem, ani razu nie byłem w stanie potwierdzić.

      Lat temu kilka (pomiędzy 2004 a teraz) miałem niewątpliwą przyjemność wymienić kilka listów z osobą wysyłającą wiadomość na “mój” adres z kropką w środku. Więc nie jest to tylko legenda. Nie wiem jak jest teraz – od paru lat sytuacja nie ma miejsca.

    • Ale czego to dowodzi? Że rozmawiałeś z kimś kto pomylił adresy?

  14. Co do “choć nie warto ufać, że odbiorca rzeczywiście taką wiadomość skasuje”, to odbiorca nie ma tu wiele do gadania. Mail zawiera tylko informację o otrzymaniu “sekretnej” wiadomości i link do właściwej treści, którą jeszcze można zabezpieczyć kodem SMS. Po zadanej dacie link i treść jest niedostępna. Samego maila z linkiem dostępowym odbiorca może trzymać ile chce.

    • Ma dużo. Np. aparat w telefonie.

    • Choć sama usługa jest dziwna, bo wiadomość wygasa i nie można jej skopiować i w ogóle, ale printscreen psuje zabawę :D.

  15. Bardzo irytuje mnie podejście w stylu „nie próbuj, bo i tak ci się nie uda, a nawet jeśli to bla bla bla gmail lepszy”. Monopol Google jest problemem znanym nie od dzisiaj, wraz ze wzrostem użytkowników pozwalają oni sobie na coraz więcej, a wy jeszcze świadomie przyprowadzacie owce do ich zagrody. Zapomnieliście o tagu „ARTYKUŁ SPONSOROWANY” :)

  16. Cóż, może się nie znam, ale… korzystam z GMaila i sobie go chwałę, ale jeżeli zależy mi na poufności korespondencji, to obsługuję go poprzez Thunderbirda z zainstalowanym GPG… może są to tylko moje złudzenia, ale przynajmniej gwarantują mi spokojniejszy sen.

  17. A ja opiszę pokrótce dlaczego Gmail to …(zło konieczne).
    Kiedyś całą pocztę trzymałem na Gmail oprócz tego podłączone urządzenia typu android itd, wszystko na jednym koncie. Później gmail przejął YT i zapiął do swojej gównianej usługi logowania.
    Podczas pewnych prac nad zaimportowaniem komuś z exela wpisów do kalendarza google, jakoś tak się zbiegło w czasie że moje konto prywatne zostało nagle zablokowane.
    Próby dodzwonienia się do jakiegokolwiek oddziału skończyły się nie powodzeniem.
    Wypełniany wielokrotnie formularz z prośbą o odblokowanie pozostawał bez odpowiedzi. Wysyłałem również pisma za pomocą poczty tradycyjnej z żądaniem podania przyczyny zablokowania konta i zwrotu pieniędzy za zakupione aplikacje. Wszystko to bez odpowiedzi i reakcji. Dopiero po długich poszukiwaniach przez jakąś stronę dorwałem się do “pseudo kontaktu z google” na którym powymieniałem swoje uwagi. I co najlepsze…
    po 3 m-c twoje konto jest kasowane z automatu. Miałem międzyczasie inne problemy i na koncie google znajdowały się “dowody” które mogły mi pomóc w sporze.
    Straciłem WSZYSTKO od YT przez gmaila, zakupione aplikacje itd. Nawet jeden telefon który był powiązany z android lost nie mógł być ponownie zarejestrowany bo był powiązany z kontem gmail.
    Zatem Gmail to … (słowa opisujące negatywne nastawienie)!
    Używam bo muszę, bez konta google w telefonie nie zainstaluję żadnej aplikacji, ale poczty tam już nie trzymam bo raz już zostałem z ręką w nocniku innym też dobrze radzę zastanowić się do czego używa Google.
    Oczywiście nie dowiedziałem się dlaczego google postanowiło zablokować moje konto. Od tego czasu minęły jakieś 3 lata.

    • Owszem, zainstalujesz. Szukaj FDroid, PureAPK.

    • Ja mam podobne doświadczenia z fejsem – jeżeli nie jesteś typowym baranem jak 2/3 społeczeństwa to prędzej czy później algorytmy odfiltrują twoje zachowania jako nietypowe i stracisz wszystko bez możliwości odwołania.
      Dlatego trzeba uderzyć wyprzedzająco i wziąć sprawy w swoje ręce. I wcale nie chodzi o super tajne dane – wystarczy że mogę raz w tygodniu zgrać wszystkie swoje dane na pendrive-a i wiem że nikt niczego mi nie zablokuje

    • +yalp store pozwala instalować z playstore używając “defaultowego” (nie Twojego) konta.

  18. Jeżeli chodzi o zabezpieczenia Gmail to zapomnieliście dodać o blokadzie logowania jeżeli logujący ma zupełnie nową lokalizację. Nie wiem czy to ustawienie działa domyślnie ale przy używaniu haseł aplikacji (a takowych używam) zdarzyło mi się kilka razy odpalić np. program pocztowy z “nieznanego” wcześniej ip dla googla i dostęp został ubity, a wujek google wysłał e-mail z informacją. Mała rzecz a wymusza na potencjalnym atakującym proxy blisko miejsca zamieszkania ofiary.

    Dodatkowo przy 2FA nie ma wzmianki o tym, iż można (imo nawet trzeba) wygenerować i wydrukować/zapisać/zachować fizycznie 10 kodów jednorazowych pozwalających odzyskać dostęp do konta. W razie utraty klucza 2FA / urządzenia które dla wygody zaznaczyliśmy, że może logować się bez 2FA takie kody to chyba jedyna deska ratunku bez dzwonienia do supportu googla.

    A co do kwestii wielkiego brata: tak google mieli moje e-maile. Jestem tego świadom. Więc nie cała komunikacja idzie przez niego, np. dla rodziny jest telefon + Signal. W razie spraw naprawdę poufnych są inne kanału komunikacji wraz z darmowym kontem na protonie + szyfrowanie wiadomości.

    Innymi słowy darmowych obiadów nie ma ale można zjeść “zdrowiej” płacąc “mniej”.

    Swoją drogą przeciętny Kowalski sobie box`a z pocztą nie postawi a Analizy Ryzyka zrobi :D Edukujcie dalej ale orka straszna…

    • Nie zapomniałem o tym wspomnieć. Napisałem że jest jeszcze wiele innych funkcji bezpieczeństwa. Ten artykuł to nie jest przewodnik po GMailu (musiałby być dwa-trzy razy dłuższy) — to jest raczej dłuższa odpowiedź na pytanie dlaczego GMail. Z tego też powodu nie ma w nim informacji o 10 kodach jednorazowych, itp. Ale jeśli masz jakieś pytania dot. funkcji nieporuszonych w artykule — pytaj :) Może będę w stanie pomóc.

    • Poznałem ten wspaniały “ficzur” gmaila jak mnie odcięto od skrzynki na Wyspach Alandzkich. W algorytmach google to jest jakiś hakerski kraniec świata. Nie znoszę takich prób robienia mi dobrze i bezpiecznie na siłę bez wcześniejszego jasnego poinformowania, bo to się kończy tak, że jestem tysiąc kilometrów od domu i nagle nie mam dostępu do poczty, bank blokuje mi kartę bo postanowiłem kupić bułki w sklepie, wydaję miliard złotych w roamingu na jakieś rozmowy telefoniczne z bankiem próbując sobie przypomnieć, jak właściwie się tam loguje przez telefoniczną infolinię bo ostatni raz robiłem to tą drogą w 2001 roku i mam jedynie bardzo ogólne pojęcie jakie tam mogło być hasło i ogólnie trafia mnie szlag.

  19. Lubię spersonalizowane reklamy. Przykład w artykule jest wręcz idealny. Poza tym można “oszukać system” i mieć reklamy np. ładnych pań reklamujących bieliznę. Kwestia tego czy komuś się chce klikać. Ale naprawdę, reklamy same w sobie to nie jest coś złego, pozwalają Ci się zapoznać z jakimś produktem na który byś być może nie zwrócił uwagi…

    • Naprawdę wierzysz, że reklamy mogą być przydatne? Ja wolę jak ich nie ma – i wtedy też nie rusza mnie czy są spersonalizowane ;-)

    • @StarLight

      Nie myl reklam z informacją o produkcie. Reklama to coś co ma cię oszukać, oddziaływać na podświadomość, wzbudzić chęć posiadania niezależnie od faktycznych potrzeb. Krótko mówiąc „wyrwać kasę” :)

      Chciałbym zamiast reklam dostawać „informację o nowym produkcie” – z opisem jego właściwości i parametrów a nie tylko „Najlepszy, najszybszy, naj… Promocja, rabat i opust w jednym”.

  20. „żaden inny dostawca poczty póki co mechanizmami bezpieczeństwa i szybkością reagowania na ataki nie dorasta GMailowi do pięt.”

    Microsoft także? Bo pozostały plus gmaila czyli U2F poczta tej firmy spełnia. Advanced protection zaś nie jest rozwiązaniem dla zwykłego Kowalskiego. Poza tym konto takie jest powiązane z kontem użytkownika w Windows 10 co także zwiększa jego bezpieczeństwo.

  21. dlaczego Proton Mail jest wg Was taki słaby?
    Jakieś źródła odnośnie wyników testów bezpieczeństwa itp?

  22. Google nie tylko pokazuje targetowane reklamy. Google tworzy profile psychologiczne wszystkich użytkowników GMaila i wszystkich, którzy się z nimi kontaktują:
    https://www.alternet.org/2013/12/google-using-gmail-build-psychological-profiles-hundreds-millions-people/

    To ohydne. W świetle takich praktyk firmy Google używanie Gmaila “bo tak mi wyszło z analizy ryzyka” to sprzedaż swojej intymności za błyszczące paciorki.

    Gmail jest zakałą Internetu – przez swoją masowość, (prawie) bezalternatywność i szatańskie wręcz kuszenie: “pozbądź się swojej godności, to będziemy Cię chronić przed włamywaczami”.

    W praktyce do komunikacji z innymi po prostu nie korzystam z maila. Nie ma obowiązku jego podawania gdziekolwiek, mimo że pracuję w IT. Używam Signal, Wire, Whatsapp – treść jest zaszyfrowana. Skrzynka mailowa na Protonmailu, służy tylko do gromadzenia PDF-ów z rezerwacjami biletów.

    • Ależ jest alternatywa dla Google. Jest ich wiele, wystarczy chcieć skorzystać.

  23. dlaczego FastMail jest lepszy od ProtonMail ? warto byloby podac choc jeden argument…

    • W artykule masz podane dwa. Chyba nie przeczytałeś całości, co?

    • Benek -> no nie bardzo.. nie ma porownania fastmail vs protonmail

  24. Proszę napiszcie jakiś poradnik o U2F, czyli gdzie kupować, jak używać, jak dbać o klucze.

    • 1. U producenta (jest wielu) lub na Amazonie
      2,3 Podpiąć w opcjach i trzymać przy sobie
      4. Rozważyć zakup i konfigurację dwóch (gdyby pierwszy przestał działać, a generowane do niego podczas konfiguracji “kody recovery” zostały zgubione)

    • @Piotrze

      A co sądzisz o https://krypt.co/ jako dodatkowym U2F?

    • Nie znam. Wygląda ciekawie. Przyjrzę się w wolnej chwili, dzięki!

  25. Kilka uwag:
    1) 1,5 mld kont, to nie 1,5 mld ludzi. Sam mam 3 konta, a nie używam aktywnie żadnego.
    2) Googlowe raporty aktywności raczej nie są kompletne. Mi nie pokazują niczego (No activity), a telefony z Androidem mam od czasu Androida 1.6
    3) Konkurencja podnosi jakość produktów. Wspieranie monopolisty ją ostatecznie obniża.
    4) Może warto się czasem zastanowić, których to cyfrowych wodotrysków naprawdę potrzebuję – będzie mniej do chronienia
    5) Wreszcie zaczynając od początku – e-mail to _NIE_ jest zaufany kanał komunikacji – wszystkie te super cuda gmaila tylko “zamazują” ten fakt, przez co mogą de facto _zwiększyć_ ryzyko wśród atechnicznych użytkowników.

    • ad 1. Domyślam się jednak, że to samo zjawisko (mam kilka skrzynek) występuje na innych platformach (bo dlaczego nie?) więc można powiedzieć, że nie zaburza proporcji. Statystyka którą podałem dotyczy zresztą aktywnych kont — więc Twoje trzy do których się nie logujesz nie powinny w niej być ujęte.
      ad 2. Screen?
      ad 3. Zgadzam się że konkurencja jest dobra, ale jeśli ktoś ma przed sobą wybór, gdzie mam pójść żeby mnie nie okradli (z danych, pieniędzy, tożsamości) to myślę, że mało go będzie interesowało, czy wspiera firmę X czy Y. Pójdzie tam, gdzie zobaczy więcej korzyści. I choć Google jest “monopolistą” to jednak pierwszy wprowadza pewne funkcje mające wpływ na bezpieczeństwo (więc raczej nie jest to wynik “konkurencji”).
      ad 5. Dokładnie. Use Signal, use Tor! Celowo nie poruszałem tu poufności komunikacji (a tam, gdzie się o nią otarłem — “Confidential Mode” wprost zaznaczyłem, że nie należy tego traktować poważnie). Można by o PGP, ale kto poza garstką technicznych z tego korzysta, nie wspominając już o tym, że nawet technicznie nieumiejętnie i niebezpiecznie z PGP korzystają?

    • @PK: a no właśnie może niektórych dotyczy, ale nie wszystkich
      już wielokrotnie przeze mnie wspominane aliasy robią robotę, nie muszę zakładać osobnej skrzynki
      a na gmailu musiałem

    • ad ad 1. Wystarczy, że ktoś nie chce tworzyć powiązania między wszystkimi swoimi urządzeniami i już ma tyle kont ile urządzeń (komputer, smartfon, tablet, telewizor, piekarnik…).
      Można też nie chcieć wszędzie występować pod tym samym nazwiskiem/nickiem (Firefox Multi-Account Containers bardzo ułatwia tu życie).
      W obu powyższych przypadkach wszystkie konta będą bardziej lub mniej aktywne mimo, że lwia część korespondencji (głównie z ludźmi) będzie wychodziła z niegooglowskiej skrzynki.
      Proporcje multikont też są zapewne inne w przypadku firm oferujących tylko usługę e-mail niż oferujących “maila z wszystkim” (chcesz skomentować film na YT -> masz gmaila, chcesz współtworzyć plik -> masz gmaila, chcesz udostępnić zdjęcia -> masz gmaila…).

      Jest też różnica między dostępem do części moich maili (tych wysyłanych do osób używających gmaila) a do wszystkich moich maili. Po za tym, używając innych operatorów mailowych, powoduję, że ta proporcja wśród moich znajomych nie korzystających z gmaila się polepsza.

  26. Autor zapomniał tutaj wyjaśnić takiemu “Kowalskiemu”, że Google jest firmą amerykańską i oprócz zarabiania na jego danych, informacje te mogą trafić do rządu amerykańskiego, bo Google ma obowiązek z nimi współpracować. A dane finansowe o fakturach, zakupach, wizytach lekarskich, stanie zdrowia itp. są raczej danymi wrażliwymi, które potem mogą być w różny sposób wykorzystane. Mnie osobiście bardziej to martwi, niż jakieś profilowane reklamy. Poza tym – jak można się czuć bezpiecznie wiedząc, że jakieś obce osoby czytają i monitorują wszystkie Twoje maile??

    • Autor nie zapomniał. Czytelnik raczej nie przeczytał artykułu do końca.

    • Proszę Autora o precyzyjne wskazanie tego fragmentu, bo ja czytałem cały artykuł i tak samo jak Łukasz twierdzę, że Autor zapomniał powiedzieć jasno, że Google oficjalnie współpracuje ze służbami amerykańskimi (bo ma taki obowiązek), a nie tylko “przez pracowników-agentów”.

    • Skąd ta pewność, że ktoś obcy czyta Twoje mejle na gmail?

    • Łukasz – domyślam się, że domu, samochodu nie zamykasz, ubezpieczeń nie kupujesz, no bo “skąd ta pewność” :) Poza tym, czy jesteś tak młody, czy byłeś mnichem w czasie, kiedy był tak wielki wysyp informacji na ten temat?

    • @kuba

      po Snowdenie to takie pytanie trąci naiwnością.

  27. Super, trafiłem na artykuł, gdzie niebezpiecznik pisze “Nie próbuj uciekać od googla bo i tak nie ma sensu”…

    Po pierwsze, polecam płatne usługi mailowe – np. KolabNow. Serwery w Szwajcarii, przystępna cena, przejrzysty regulamin i brak profilowania.

    Po drugie – Piotr Konieczny, dlaczego jesteś w temacie zaufania google’owi tak naiwny? Co, jeżeli za kilka lat zmieni się sytuacja polityczna (spowodowana np. wojną – strach zawsze działa na ludzi ogłupiająco) i Google będzie musiało udostępnić wszystkie swoje systemy profilowania obywateli? Co jeżeli na podstawie takich usług powstanie system oceny obywateli (jaki jest implementowany już w Chinach)?

    Jak można z czystym sumieniem mówić “nie ma sensu uciekać” i nawet nie próbować wytłumaczyć konsekwencji odsprzedania własnych danych?

    Dlaczego mając tak szeroką publikę nie próbujecie informować ludzi, że można próbować zmienić ten stan rzeczy?

    Dlaczego godzicie się z tym, że wygoda jest dla was najważniejsza?

    • 90% ludzi nie ma pojęcia o 2FA, a ci co używają mają w większości ustawione przysyłanie kodów sms`ami a tu i tak mówimy o bardziej świadomych.

      Płatne e-mail ? W świecie wszystkiego za darmo, zintegrowanych usług, wszelakich urządzeń jednoprzyciskowych i automatycznie działających? I to za cenę połowy kasy za np. Netflix`a miesięcznie czy innego showmax`a?

      No to pożartowaliśmy, a teraz zalecam przestać obrażać się na rzeczywistość i do niej wrócić.

      Aby edukacja była skuteczna należy robić ja tak aby odbiorca zechciał zacząć słuchać…

      99% Kowalskich po usłyszeniu “płatny e-mail” albo “własny serwer” wyłączy się i tyle z gardłowania…

      Ps. aby nie było: nienawidzę mediów społecznościowych i ich powstanie uważam za najgorszą plagę, która dotyka ludzkość za mojego życia.

      Ale też muszę przyznać, że zgadzam się z oceną Niebezpiecznika co do bezpieczeństwa e-mail googla – jest bezapelacyjnie najlepsza z dostępnych darmowych.

    • @Kuba, Nie wkładaj proszę w moje usta treści, których w artykule nie ma. Nigdzie nie napisałem że “nie próbuj uciekać od Google bo to i tak nie ma sensu”. Wspomniałem za to o analizie ryzyka, którą wygodnie przemilczałeś. Błąd! Bo jej wykonanie determinuje to jak powinieneś interpretować całość treści z tego artykułu.

      Co do misji Niebezpiecznika i informowania “szerokiej publiki”. Tym tekstem dokładnie to robimy. Pokazujemy dlaczego dla przeciętnego Kowalskiego GMail jest najbezpieczniejszy i wskazujemy kiedy nieprzeciętny Kowalski nie powinien pod żadnym pozorem z niego korzystać (i dlaczego). Artykuł w ogóle nie porusza “wygody”, tylko i wyłącznie bezpieczeństwo i prywatność.

    • Panie Piotrze, a jak rozumieć zdanie na końcu: “Jak widać, ucieczka przed Googlem jest w obecnym internecie dla większości osób z góry skazana na niepowodzenie.” To jest dokładnie to samo co napisanie “nie próbuj uciekać od Google bo to i tak nie ma sensu”. Przynajmniej jest nas dwóch, którzy zrozumieli to właśnie tak. A przypuszczam, że inni też tak to mogli odebrać.

    • _dla większości_

  28. A jak ocenia IE pocztę outlook.com od Microsoftu.

  29. Czy mógłbym poprosić autora albo kogoś życzliwego o krótkie rozwinięcie stwierdzenia że dwuetapowe uwierzytelnianie bazujące na Google Authenticator da się (łatwo) obejść?

    • jak ktoś wpisuje login i hasło gdzie popadnie to i kod z smsa przepisze, a odpowiednio przygotowana kampania obsłuży i potwierdzanie androidem

    • I to będzie winą tylko i wyłącznie osoby, która nie czyta i nie uważa.

  30. Szyfry, klucze, specjaliści ?
    Goniącym za poufnością polecam lekturę historii Snowdena: https://ebookpoint.pl/ksiazki/polowanie-na-snowdena-luke-harding,e_741t.htm

  31. A co jeśli ktoś blokuje reklamy w Internecie i Google nie może mu wyświetlić żadnej spersonalizowanej reklamy? Czy wtedy to profilowanie nadal jest skuteczne? Jak wtedy Google monetyzuje takiego klienta?

  32. A co z “wspaniałą” pocztą zachwalaną tak przez użytkowników Apple jaką jest iCloud? Twierdzą oni że też jest zabezpieczenie dwuetapowe, a Apple dba o bezpieczeństwo jak mało kto…

  33. Drogi Niebezpieczniku, drogi Piotrze,

    cenie sobie ten portal ale następnym razem zanim umieścisz podobny artykuł tekst odpowiedz sobie na przykład na takie pytanie:

    Czy kupiłbyś kradziony samochód od złodzieja bo tak taniej i wygodniej?

    Korporacje dające niby-darmowe, „wygodne” usługi są właśnie takimi złodziejami. Dają złudną wygodę ale przy okazji okradają nas z prywatności. Nie muszę chyba podawać argumentów potwierdzających tę tezę bo sam to przyznajesz w tekście.

    Powstaje inne pytanie czy powinno się taką postawę promować? Czy naszym celem, jako osób mających większą świadomość informatyczną, nie powinno być piętnowanie takiej kradzieży.

    Piszesz, że można zmienić ustawienia prywatności. Niestety dla większości typowych użytkowników jest to czynność o tym samym stopniu trudności co postawienie własnego serwera poczty. Nie zrobią tego sami, muszą mieć pomoc „informatyka”. A skoro i tak po niego sięgają to ten informatyk powinien im powiedzieć „Nie używaj tej usługi bo cię okrada. Skorzystaj z …” – taka zawodowa etyka.

    Myślę, że tym artykułem robisz wiele szkody zarówno dla wolności internetu, jak i bezpieczeństwa naszych danych. Internet w założeniu to system rozproszony, koncentracja usług w jednym miejscu u jednego dostawcy to najgorsza rzecz jaka może go spotkać. Monopoliści z radością skończą z dbaniem o bezpieczeństwo i z pseudodbaniem o prywatność…

    Zastanów się Piotrze co się stanie gdy twój „najbezpieczniejszy i bezkonkurencyjny” dostawca poczty osiągnie, między innymi dzięki takim tekstom, swój wymarzony monopol… Dalej będziesz twierdził, że to „mniejsze zło”?

    • @Lucjanie, cały artykuł jest o tym jak patrzeć na prywatność i bezpieczeństwo, kto powinien razem – kto osobno. Uważam, że temat jest bardzo rzetelnie przedstawiony i kategorycznie nie zgadzam się z Twoim stwierdzeniem, że “artykułem robię wiele szkody”. Nikomu niczego nie narzucam, a przedstawiam zarówno plusy i minusy — także, co sam przyznałeś — wyraźnie wskazuję na ryzyka z prywatnością. To, zaś, co będę twierdził na temat GMaila za miesiąc, albo rok wciąż będzie zależało od wyniku mojej analizy ryzyka dla tej usługi. Czyli podejścia które rekomenduje każdemu zanim odpowie sobie na pytanie czy GMail jest dla niego. Ta ramka z analizą ryzyka jest bardzo istotną część artykułu, którą wielu komentujących zdaje się niestety wygodnie pomijać.

    • Nawiąże jeszcze raz do przykładu z samochodem, który wymieniłem – czy wziąłbyś/przyjąłbyś od złodzieja np. najnowsze Volvo bo jest „bezpieczne i wygodne”?

      Niektórych opcji przyzwoity człowiek po prostu nie bierze pod uwagę w żadnej sytuacji…

      Myślę, że na tym forum raczej nie tyle pomijamy twoją „analizę ryzyka” co po prostu ta usługa nie kwalifikuje się do wzięcia jej pod uwagę w takiej analizie. Przynajmniej dla mnie.

      W pełni się zgadzam się z tym co napisał poniżej Caspinos. Promujesz w ten sposób monopol – co prędzej czy później zemści się także na tobie.

      Przyznajesz, że korporacja postępuje nie do końca etycznie ale jednocześnie stwierdzasz, że ten aspekt analizy ryzyka jest mało istotny. Na dodatek nie mając pewności czy zapewnienia o sposobie korzystania z zebranych danych są w jakikolwiek sposób prawdziwe. Pewna korporacja na literkę „F” też zapewniała o etycznym działaniu a jednak w ubiegłym roku kilka razy okazało się że ich zapewnienia są nic nie warte. Już na tej podstawie należy zachować „ograniczone zaufanie” gdy mówi się o oferowanym przez tę usługę bezpieczeństwie.

      Powtórzę oczywistość – żadna z tych korporacji nie zawaha się przed wykorzystaniem zgromadzonych danych jeżeli będzie mogła na tym zarobić. Tego wymaga ich model biznesowy… Bez tego nie istnieją…

    • Czyli Ty jesteś za tym, aby każdy miał własny serwer pocztowy. No brawo… Aha i ja nigdzie nie napisałem że Google postępuje nieetycznie (proszę mi nie wkładać w usta rzeczy których nie wypowiedziałem). Artykuł jasno informuje co google zbiera, gdzie to można wyłączyć jeśli się ufa że wtedy Google już z tych informacji nie korzysta. Jest też wskazówka dla tych co nie ufają (mają prawo). Ale w żaden sposób nie jest to ocena Google pod kątem etyki lub sugerowanie że firma kłamie. Taką samą wskazówkę dałbym podczas analizy TOC kazdej innej firmy.

    • Nie wiem czy każdy powinien mieć swój serwer poczty. Ale skoro są w domach rozbudowane routery czy NAS-y mogące zastąpić „darmowe” przechowywanie plików w chmurze to dlaczego nie mieli by mieć własnego serwera poczty? To tylko kawałek kodu, który bez problemu te urządzenia obsłużą… Tak właśnie powinien wyglądać Internet. I tak by wyglądał gdyby nie jego postępująca monopolizacja pod przykrywką „wygody”. Wkrótce może się okazać, że nie tyle nie powinno co nie wolno będzie mieć własnego serwera poczty!

      Jak to nie napisałeś, że Google postępuje nieetycznie??? Przecież przyznajesz to w ostatnim zdaniu pierwszego akapitu! Zacytuję: „I dlaczego nawet osoby, które cenią sobie prywatność, powinny poważnie rozważyć wybór GMaila jako mniejsze zło.” Co innego miałeś na myśli w słowach „mniejsze zło”?

      Naruszanie prywatności jest nieetyczne w każdym przypadku. Już samo pytanie o to „czy mogę przeczytać twoją korespondencję” jest nietyczne! Takie praktyki w przypadku korespondencji tradycyjnej są generalnie zabronione. Wyobraź sobie, że na tradycyjnej poczcie dostajesz do podpisania oświadczenie, że listonosz może sobie przeczytać dostarczaną korespondencję… Zgodziłbyś się? Pewnie wielu tak gdyby nie musiała za ten list zapłacić… Ale dlatego naruszenie tajemnicy korespondencji zostało uznane za przestępstwo aby operatorom pocztowym takie zakusy nie przychodziły do głowy. Dlaczego to prawo nie jest stosowane do poczty elektronicznej?

      Tak wiem, że na poczcie są listy i kartki pocztowe – ale jeżeli zapytasz „typowych użytkowników mejli” to porównają mejla raczej do zaklejonego listu a nie do kartki pocztowej.

      Świadomość „typowych użytkowników” jest niska. Nie wszyscy urodzili się „z klawiaturą w rękach”, ale po to jest prawo, po to jest też prasa (za którą Niebezpiecznik się uważa i z przywilejów prawa prasowego korzysta) aby uświadamiać i edukować… A nie promować oferty, które w prostej drodze prowadzą do ograniczeń wolności.

      Może zamiast powtarzać co jest napisane w artykule napisz, tu na tym forum, swoje odpowiedzi na moje – nie tak całkiem retoryczne – pytania. Może własnoręcznie wystukując na klawiaturze „nie, nie przyjąłbym kradzionej rzeczy aby było mi wygodniej” zrozumiesz na czym polega problem.

      Bo nie jest istotne czy GM jest trochę bezpieczniejszy od innych usług poczty (w końcu dobrze wiesz i sam powtarzasz, że każde zabezpieczenie jest do złamania) tylko czy jutro będziesz mógł skorzystać z czegoś innego niż tylko GM.

    • Naprawdę spec od bezpieczeństwa będzie bronił do końca stanowiska, że jak w opcjach google “coś wyłączę” to google tego nie będzie widziało? I że w dowolnym momencie na żądanie dowolnych służb lub widzimisię kogokolwiek władnego nie zajrzy w te dane? Ech…

  34. Pytanie – czy da się zablokować śledzenie zakupów?

  35. Co do bezpieczeństwa google to przyznam rację Piotrowi. Gmail to bezkonkurencyjny poziom darmowego bezpieczeństwa dla mas. Mas, które w większości zgadzają się na to kosztem prywatności “bo i tak nie mają nic do ukrycia”. Podobnie jak to jest z Windowsem 10. Dodatkowo nikt nie ma pewności czy Onet lub WP nie czyta maili swoich użytkowników, a te konta przejąć można bardzo prosto.

    • A czy bezpieczeństwo to nie również prywatność? Czy bez prywatności można być bezpiecznym? Czy ośmiornica karmiąca się danymi osobowymi może gwarantować bezpieczeństwo? Chyba tym, którzy lubią takie uściski śmierci.

    • ds, miałem na myśli bezpieczeństwo w sensie przejęcia konta przez osobę z zewnątrz. W ten sam sposób myślałem też o prywatności. Tzn, że jak zdobędę dane do logowania np. do konta na onecie to mogę konto przejąć (zmienić hasło) lub po cichu logować się i czytać cudze maile. Na gmailu będzie to o wiele trudniejsze, bo właściciel od razu dostanie wiadomość z alertem o logowaniu z innej maszyny, a zmiana hasła tylko z potwierdzeniem przez telefon. O ile na koncie nie ma założonego 2-składnikowego logowania, co zupełnie uniemożliwi zalogowanie.

      Jeśli chodzi o prywatność związaną z właścicielem usługi to zupełnie inna sprawa. I tu się z Tobą zgodzę. Dlatego pisałem, że dla mas, które “nie mają nic do ukrycia” to bardzo dobra opcja.

  36. Myślę, że warto wspomnieć o jeszcze jednym aspekcie korzystania z usług Google – walka z monopolem jednej firmy. Może przemawia przeze mnie paranoja, ale boję się, że jak dojdziemy do punktu, w którym, powiedzmy, 90% wiadomości email będzie obsługiwane przez jedną firmę, będzie ona miała prawie nieograniczoną władzę nad tym sposobem komunikacji. Przykładowo, mogę sobie wyobrazić taką sytuację, że Google postanawia wyłączyć obsługę protokołów typu imap/smtp na rzecz jakiegoś własnościowego protokołu, albo zabronić przesyłania szyfrowanych plików (oczywiście ze względów bezpieczeństwa).

    Osobiście korzystam z mailbox.org i od przesiadki z Gmail’a nie brakowało mi nigdy żadnej funkcjonalności.

  37. A jak się do Gmaila ma G Suite?
    Mam tam pocztę we własnej domenie za czasów jak nazywało się to inaczej i była wersja do 100 użytkowników za darmo (Google pozwala z tej wersji korzystać dożywotnio).
    Jak wchodzę, w aktywności, zakupy etc to mam wszędzie pusto. Tylko YT ma historię wyszukiwania i oglądanych filmów.

  38. Moglibyście wspomnieć o zamianach w zasadach użytkowania Gmaila, które wchodzą w życie 22 stycznia.

  39. Nie zgodzę się z jednym. Jeśli wyślę wiadomość do kogoś, kto ma Gmaila, to nie ja będę śledzony tylko odbiorca będzie śledzony pod kątem, co i od kogo dostaje. A to zdecydowanie mniejsze zło.

    Tak poza tym zawsze mi się wydawało e-maile zostały wyparte w komunikacji między zwykłymi ludźmi. Zwykli ludzie to raczej preferują portale społecznościowe, komunikatory i oczywiście SMS-y, natomiast e-mail to tylko raz na ruski miesiąc a i to nie do człowieka, a częściej do jakieś firmy lub usługi.

    Czytuję Waszego bloga i mam pytanie. Co może grozić internaucie, który nie podaje w Internecie swoich danych osobowych, nie kupuje, nie załatwia swoich urzędowych, finansowych, bankowych spraw i nie ma do niczego podpiętych środków płatniczych?

  40. Elo,
    Ja mam własny serwer synology, na którym postawiłem mailstation.
    Praktycznie zero spamu – a security mam ustawione na 75%.
    Moje własne, bez reklam, bez skanowania zawartości, o dowolnej pojemności.
    Za darmo nic nie jest do końca super.

  41. zabrakło mi tu jednej ważnej rzeczy – googlowi też można zapłacić (gsuite) i zaprzestaje on dużej części swoich śledzących praktyk (najlepiej przy tym nie używać już “klasycznego” konta gmail). dodatkowo mamy adres we własnej domenie, co ma też wiele zalet (i wad, np. wektorem ataku może stać się dns)

  42. Może ja “bląt blądyna” jestem, ale pocztę gmail, FB i inne ważne rzeczy, oficjalne np. maila. Mam na innej przeglądarce np. Chrome. A na co dzień “neta” np. Firefox i tu konto pocztowe tzw. śmieciowe. Po ciasteczkach FB/Google wiedzą po jakich stronach chodzisz.. mimo opcji zabezpieczeń. Albo ja taka “gupa” jestem że nie komentuje “srającego dziecka dżesiki”, jak już mam coś na pisać na oficjalnym profilu, przeleję link z jednej do drugiej przeglądarki…
    WERSJA DLA CHŁOPCÓW, jak masz porno i gmail/fb na np. firefox – to oni wiedzą. Jak masz pierwsze na firefox, a drugie na chrome, to nie wie :)

    • Chyba identyczny efekt osiągniesz, gdy zainstalujesz uBlocka i włączysz odpowiednie filtry (blokujące reklamy i trackery śledzące), plus wyłączyć akceptowanie ciasteczek.

    • “Wesja dla chłopców”
      Bo kobiety z “porno i duszno”, oczywiście, nie korzystają. A słońce grzecznie krąży wokół ziemi.

      (że ofertę do nich skierowaną mają marną, to inna sprawa)

  43. Temat dość trafnie ujęty, natomiast jest kilka stwierdzeń, które są zwykłą demagogią :)

    1.
    “I — co może być niespodzianką dla niektórych naszych Czytelników — niektórzy ludzie lubią widzieć dopasowane reklamy. Nie mają nic przeciwko temu, że Google “zbiera” na ich temat informacje i wykorzystuje je do dopasowywania reklam!”

    Niestety prawda jest taka, że ludzie, którzy “lubią widzieć dopasowane reklamy” to Ci sami ludzie, którzy nie zdają sobie sprawy z konsekwencji zagregowanego BigData. Zyją chwilą a ich głównym argumentem jest “a po co taki google/ktokolwiek ma się interesować takim szarakiem jak ja”. W ogóle nie biorą pod uwagę efektu agregacji danych w jednym miejscu z jakim będą mieć do czynienia w niedalekiej przyszłości. Gdy mam dane tylko o tym co oglądasz na YT i o Twoich interentowych zakupach to jestem poniekąd ograniczony. Jednak gdy te dane połączę z twoimi adresami zamieszkania, lokalizacją telefonu i tras jakie przemierzasz, danymi bankowymi, danymi medycznymi, profilem FB, różnymi innymi kontami na portalach internetowych, etc. etc. a następnie przemnożę te dane przez ilość lat z których historię posiadam to jestem w stanie wiedzieć o Tobie WSZYSTKO. Absolutnie wszystko. Posiadając taką wiedzę ile trzeba aby dowolnie manipulować ludźmi? Taka manipulacja będzie równie łatwa na skalę kraju jak i indywidualnie. Tak naprawdę już się dzieje bo czym innym jest reklama jak nie wytworzeniem sztucznej potrzeby posiadania?

    Bardzo lubię niebezpiecznika i samego Piotra (byłem na dwóch szkoleniach :P) ale myślę, że on sam wypiera lub nie zdaje sobie sprawy jakie konsekwencje dla WSZYSTKICH będzie miało agregowanie naszych danych praktycznie bez ograniczeń. A my bezkompromisowo jeszcze w tym pomagamy.

    2.
    “40% użytkowników polskiego internetu ma GMaila. To oznacza, że prędzej czy później będziesz z nimi korespondował …a zatem Google będzie znało treść Twoich e-maili, choć Ty przecież nie masz u nich konta!”

    Ponownie jest to półprawda. Zupełnie czym innym jest sprofilowanie nas po co dwudziestym mailu, który otrzymamy/wyślemy do znajomego posiadającego konto na GM niż po CAŁEJ mojej korespondencji jeśli to ja sam posiadam tam konto. Urząd Skarbowy, Sklep BDSM, Urząd Miasta, Zarządca nieruchomości, Kochanka, Urząd Celny i kilka innych nie wysyła mi korespondencji z GMaila.
    Jeszcze…

    Pozdrawiam

    • Ad 1. Ależ doskonale zdaję sobie sprawę i ja i reszta redakcji, że zbieranie danych (a nawet same metadane) mogą być problemem. Wielokrotnie na to uczulamy w różnych naszych tekstach, które łatwo znaleźć w archiwum. W tym artykule jednak rozważam Kowalskiego i tłumaczę dlaczego pomimo minusy dla jednych (np. Ciebie), mogą być plusami dla drugich, podkreślając przy tym, że każdy sam powinien dokonać wyboru. Ja wybrałem za Kowalskiego i stoję twardo za tym wyborem. Uargumentowałem to dość mocno w artykule. To nie oznacza, że dokonałem wyboru za Ciebie, albo że nie szanuję Twojego wyboru. Wręcz przeciwnie. W drugiej części artykułu poruszam temat analizy ryzyka (modelowania zagrożeń). To jest klucz do interpretacji każdej usługi/sytuacji pod kątem bezpieczeństwa.

      Ad 2. Nie zgadzam się. (A Ty przeczysz chyba trochę sam sobie, bo w pkt. 1 sugerowałeś że nawet niewiele danych z czasem może pomóc w sprofilowaniu osoby). Tu jest ta sama sytuacja. Jeśli ktoś ceni prywatność, to wymieniając połowę e-maili z użytkownikami GMaila może być w 50% profilowany (Google widzi wszystkie jego maile trafiające do różnych GMailowych skrzynek na swoich serwerach). Wybierz co drugi e-mail z wysłanych. Co o Tobie mówi taki podzbiór. Akceptujesz (jeśli prywatność jest dla Ciebie ważna), żeby Google aż tyle o Tobie wiedziało? ;)

    • @Piotr Czyli sugerujesz, że lepiej jednak mieć konto na Gmailu, bo tam jak zaklikniesz żeby Google zamknął na ciebie oczy jest wielką przewagą nad tą osobą, o której Google też wie, ale biedaczek nie może sobie tego zakliknąć bo nie ma tam konta? No teraz to mi się rozjaśniło ;)

    • P. Piotrze, Niebezpieczniku – jest Pan popularny i wywiera Pan duży wpływ na to, jaką “Kowalski” wybierze usługę. Czy w związku z tym, przeprowadził Pan “analizę ryzyka” jakie niesie zwiększanie ilości obywateli polskich będących pod kontrolą obcych służb? Jest oczywiste, że jeśli te służby wybiorą sobie na cel konkretnego obywatela, to mogą mu się włamać na różne urządzenia, ale jest zupełnie to coś innego jak dawanie tym służbom jak na tacy tak dużą ilość danych w celu ich regularnego kopiowania i przetwarzania. Polscy obywatele powinni korzystać z różnych usług, najlepiej z szyfrowaniem and-to-end. I dotyczy to nie tylko maila, ale też np. VPN’a. Ustawy USA oficjalnie ograniczają takie praktyki, ale NIE dotyczą one obywateli spoza USA.

    • @Piotr Konieczny

      AD AD 2.

      Nie zgadzasz się ze stwierdzeniem, że wymiana co 20 maila ze znajomym, który posiada konto na GM i nie przesyłanie tam żadnych ważnych danych – ot rozmowa o dupie maryni, ustawka na wspólne spotkanie, etc. zdradza Googlowi ZNACZNIE mniej o Tobie niż jak sam posiadasz konto na GM i korespondujesz z niej z KAŻDYM ? Bo nie jestem pewny czy dobrze się zrozumieliśmy.
      A poza tym nie wiem czemu podajesz za przykład 50% korespondencji. To jest żonglowanie stwierdzeniami i liczbami tak aby przypasowały do własnej teorii bo ja nigdzie nic nie pisałem o połowie korespondencji ;)

      Ja tak naprawdę zgadzam się z tym, że prawdopodobnie GM to najlepsze rozwiązanie dla Kowalskiego, który “ma głęboko” dane na temat swój, swojej rodziny i znajomych. Tu przynajmniej jest bezpieczniejszy niż na np. wp.pl :D
      Jednak namawiając ludzi do GM zakładasz, że ludzie wiedzą dokładnie jakie konsekwencje niesie ze sobą tak swobodne szastanie danymi. A to jest nieprawda. Ludzie tego nie wiedzą. A to dlatego, że nawet do głowy im nie przychodzi, że np. za 10 lat przy zmianie pracy ich nowy pracodawca być może będzie przeglądał ich historię aktywności na FB w godzinach pracy. Oczywiście przed podjęciem decyzji o zatrudnieniu ;) Albo, że jak będą chcieli się ubezpieczyć to nikt nie będzie chciał takiego klienta bo przez ostatnie lata ich historia bankowa wskazuje, że są częstymi bywalcami apteki koło swojego domu i miesiąc w miesiąc robią tam zakupy na konkretną kwotę. Albo może zostaniesz osobą publiczną lub założysz z sukcesem firmę i tuż przed kluczowym przetargiem, ktoś wyciągnie Twoje brudy… sprzed lat lub te bieżące :)

      Dajcie mi człowieka a paragraf się znajdzie – tym znanym cytatem powinniśmy się kierować w momencie dawania dostępu komukolwiek do naszych prywatnych danych.

      Pozdrawiam

  44. Jeśli chodzi o analizowanie chociażby zawartości poczty to każdy serwis, nawet wszystkie polskie skrzynki oferujące darmowe usługi (płatne pewnie tak samo) analizują zawartości poczty w celu dopasowania reklam. Więcej jest tylko reklam i spamu. Różnica jest tylko w tym na ile ktoś się przyznaje do tego “szpiegostwa” (Google się z tym nie ukryje) a na ile próbuje to ukryć. Takie firmy jak MS i Apple także analizują poczynania użytkowników – chociażby funkcje zawarte w systemie Win 10 – system pomimo że jest płatny, tak samo “szpieguje” użytkowników (nawet podczas wstępnego konfiguracji nie możemy wszystkiego wyłączyć a tylko ograniczyć niektóre funkcje) – tutaj płacimy podwójnie – swoimi danymi i zakupem licencji. Ale mało kto zwraca na to uwagę. Bo czego oczy nie widzą, tego sercu nie żal. Poza tym wracając do poczty – mało prawdopodobne, żeby ktoś czytał naszą pocztę – a tu z kolei im więcej poczty przechodzi przez dany serwis tym mniej prawdopodobne aby konkretnie czyjaś skrzynka była przez kogoś przeglądana. Tak naprawdę każda skrzynka założona na serwerze do której ma ktoś oprócz nas chociażby fizyczny dostęp (o ile nie jest tam wszystko zaszyfrowane kluczem posiadanym tylko przez nas) jest na to narażona. Jest jeszcze kwestia dostarczania poczty chociażby pomiędzy serwerami.

    • @patryk @zakius @Piotr Konieczny

      No dobrze a kto powiedział że musisz używać Micro$oft Windows 10 ?
      Dobrze sprofilowana (przez samego siebie) i podtuningowana 7ka z odpowiednimi narzędziami (jak Sysinternalls, DEPy, oraz kilka rzeczy jeszcze) z powyłączanym wszystkim co nie jest konieczne i nie służy pracy + odpowiednio skonstruowana własna sieć biurowa za własnym (koniecznie linuksowym) routerem + kilkoma mechanizmami zapobiegawczymi jeszcze (patrz np. niezła do dzisiaj książeczka Richarda Bejtlicha o NSMie ) i można spać trochę jakby spokojniej ;) ;P
      O ile się oczywiscie jakichś strasznych głupst nie robi – po pijaku :P :D

      Zresztą i win 10 da się obłaskawić choć zachodu jest sporo więcej na razie …

      Poza tym profilowanie , o czym pisało już tutaj kilka osób jest również mało odporne na false positive’y nie zaszkodzi podsyłać tu i ówdzie od czasu do czasu różne ‘różności a dziwadełka’ oczwiście z kultura i umiarem :)
      (żeby zwierzaka nie przekarmić bo padnie :P )

      Poza tym w korespondencji stosować należy (też z umiarem tam gdzie to potrzebne) PGP, tzn. właściwie to stosować można i wszędzie – tylko nie tyle do szyfrowania wszystkie ogółem, ale do podpisywania swojej wychodzącej korespondencji . Tutaj wkraczamy na pole edukacji – ja np. wedukowałem już wielu istotnych dla mnie respondentów na to iż maile wysyłane ode mnie – są zawsze podpisane cyfrowo (PGP sign) i jeśliby nawetktoś dostał sie na jedno z używanych przeze mnie istotnych (!) kont i próbował coś za jego pomocą np. porozsyłać czy eskalować swoje uprawnienia dalej – to nie byłby w stanie uzyskać jednocześnie dostępu do mojego klucza prywatnego PGP oraz jego hasła …. A brak takowych w mailu od mnie (lub wysłanym potwierdzeniu czy innym zbiorze danych) zaraz podziałałby jak dzwonek ostrzegawczy na niektóre osoby na pewno – i skończyłby się szybkim telefonem z pytaniem “czy to na pewno ty mi wysłałeś … ?”

      Ważna tutaj jest edukacja – oraz zachowanie sterylnego w miarę możliwości systemu i – co równie ważne – tak samo klienta poczty. Tak, to bardzo istotna część operacji . Bo używając np wiekszości ze znanych i serwowanych nam klientów webmailowych nie mamy praktycznie żadnej możliwości – na dokonfigurowanie sobie PGP do swoich kont…

      Padło w komentarzach gdzieś powyżej pytanie o porównanie outlooka i gmaila , śpieszę wyjasnić że to bardzo zależy którego outlooka . Bo ja np. używam do celów zawodowych zarówno Outlooka chmurowego (corpo) jak i gmaila (ale to priv, kiedyś również corpo), oraz paru innych dostawców w tym swoich własnych serwerów postfixowych … Różnorodnośc jest znaczna, ale łączy je klient . Wszystkie odbieram za pomocą Thunderbirda (z paroma dodatkami rzec jasna) no i tam mogę swobodnie zarządzać sobie tożsamościami także w PGP (jest do tego specjalny dodatek- enigmail) . Klentó webmailowych prawie że nie tykam .

      A w przypadku Outlooka – to wersja webmailowa jest tak samo badziewna jak i inne tego typu klienty i obarczona wszystkimi praktycznie wadami jakie niesie ze sobą interfejs (nie bede wyliczał – zrobiliście to nieźle powyżej) . Ale wersja pełna – czyli klient Outlooka desktopowy jest juz lepsza nieco – choc nadal nie posiada mechanizmów do szyfrowania (natywnie) jednak jest jeden z dodatków który pozwala na podpięcie choć nie najprostszy w konfiguracji (a szkoda bo mógłby być!)

      Dlatego w tym kontekście najlepiej – i to już od lat – wychodzi Grzmotoptak (thunderbird) ob jest
      1) Opensource’owy
      2) modułowy
      3) konfigurowalny
      oraz posiada niezły nacisk na prywatności i wyłapywanie róznych podejrzanych rzeczy (np. w załacnzikach w defaulcie blokuje wszelki kontent od wyświetlania domyślnie w mailu ) Mozna to ooczywiście overridowac – tylko pytanie po co ? skoro lepiej jest wybrać wersję że osobiście decyduję KTÓRE załaczniki chcę oglądać a recszty nie .

      Do tego należy dodać to , że z zaufanych miejsc mogę dostawać różne i różniaste rzeczy – ale znów tam korespondencja jest/powinna być podpisana cyfrowo przez nadawców – więc mogę je spokojnie czytać (załaczniki) bo szansa że któryś będzie niebepieczny jest niewielka.

      Dlatego, uważam że choć prawdą jest że w sieci praktycznie wszystko może być jakoś niebezpieczne to – wcale nie jest prawdą że jesteśmy tacy zupełnie wobec tego bezbronni … I że wcale nie koniecznym jest stawianie zawsze i wszędzie swoich i tylko swoich serwerów – bez popadania w paranoję można , zachowując tylko kilka zasad (i utrudnień jednak) żyć i pracować całkiem spokojnie i nie mieć “niespokojnych czy nieprzespanych nocy”

      Ale to temat -rzeka :) a i tak już naduzyłem trochę monopolu więc kończę

      Aha i jeszcze jedno – uważam że tytuł artykułu i jego pierwszy akapit są trochę … może mało celnie napisane – ja bym nie użył tak mocnych i jednoznacznych słów…ale to kwestia gustu i edycji redaktorskiej . ;)

      Pozdawiam

    • @markooff

      proponuje poczytać do czego może służyć Intel Management i dlaczego NSA dostaje komputery z wyłączoną częścią funkcjonalności. W każdym razie jak chcesz wchodzić na taki poziom bezpieczeństwa.

    • @rew – rozumiem że Kolega zna dobrze zawartość seryjnych komputerów NSA. W takim razie na pewno mogę pozazdrościć posady i zarobków ;)
      A ja zawsze powtarzam – a kto zmusza do używania Windowsa ?
      Nie ma jeszcze – o ile mi wiadomo – stosownej ustawy czy rozporządzenia w tym zakresie …

      Pozdrawiam

  45. Dziękuję za wykład na temat poczty gmail . Bardzo mi rozjaśnił temat i wiem dlaczego tam jestem .

  46. Żenująca kryptoreklama gmaila. Wcale nie trzeba być jakimś superadminem by mieć swój bezpieczny serwer pocztowy. Wystarczy jakiś tani SAN Synology (jest wiele podobnych, ale te chyba są najprostsze w obsłudze dla przeciętnego Kowalskiego, dlatego akurat to wymieniłem) i ma się więcej niż oferuje konto google i nad bezpieczeństwem tego też pracuje zespół naprawdę dobrych inżynierów i specjalistów od bezpieczeństwa Synology i oni też dbają o bezpieczeństwo poczty. I nie ma czegoś takiego jak prywatność użytkowników dla amerykańskich firm. Co więcej, pachołek USA, czyli Polska, osobą swojego przedstawiciela w KE, Maciej Szpunar, wystąpiła do Trybunału w Strasburgu BY EUROPEJSKIE PRZEPISY O OCHRONIE DANYCH OSOBOWYCH STOSOWAĆ TYLKO DO EUROPEJSKICH FIRM I BY NIE KARAĆ AMERYKAŃSKICH FIRM ZA ICH NARUSZANIE!!!!! Pachołḱowatość władz Polski budzi moje obrzydzenie… :(

    • Ja na przykład mam Qnap’a, i ostatnio bardzo się zdziwiłem, bo okazało się że była dziura, zainstalował się malware, szyfrował pliki .sh i wysyłał sobie w świat “coś”.
      Przez ok. 3 miechy o tym wiedzieli i nie potrafili załatać dziury. Mniej więcej od lipca/sierpnia 2018.
      Akcje były do tego stopnia, że na oficjalnym forum wykasowali temat gdzie mocno była nagłaśniana sprawa i dali bana gościowi. Odpowiedź admina forum: ” temat powodował (przynajmniej na mojej przeglądarce … niesamowitego laga) kłopoty. Wróci poprawiony jak znajdzie się błąd”. – oczywiście nie wrócił… ;)

      Setki Giga poleciało w eter ludziom, a Qnap jak się już udało, to dał tylko zdawkową informację że załatali dziurę, bez szczegółów co było celem, i jakie dane wysyłał.

      Także, nie wierz za bardzo w to, że mając serwer na swoim urządzeniu (synology, qnap, malinka, inne…..) jesteś w pełni bezpieczny. Oni też łapią dziury, i mają użytkowników tam gdzie jest ciemno.
      Swoją drogą, stawianie serwera w domu nie jest prostą sprawą, jeżeli chcesz zadbać bardziej o bezpieczeństwo nie tylko poczty, ale całej swojej sieci. Wystawiając swoją sieć na świat (poczta, chmury, ftp’y, inne usługi) stajesz się adminem swojej -całej- sieci.
      Lepiej żeby “kowalski” się za to nie brał…
      Pozdrawiam

  47. “I dlaczego nawet osoby, które cenią sobie prywatność, powinny poważnie rozważyć wybór GMaila jako mniejsze zło.”

    Tu autorze, odleciałeś. Google i prywatność to jednak przesada.

    • Tu Czytelniku, nie zrozumiałeś słowa rozważyć, nie mówiąc już o dalszej części artykułu.

    • Gmail narusza prywatność, skanuje prywatne maile. To wystarczy by uznać go za niewłaściwy serwis, choćby nie wiadomo jakie mechanizm bezpieczeństwa oferował. Żadna “analiza ryzyka” nie ma sensu, GMaila należy odradzać i tyle.

      A już mówienie “dla technicznych nie, dla przeciętnego Kowalskiego tak” jest straszne: po pierwsze, prywatność należy się każdemu, również przeciętnemu Kowalskiemu, po drugie jest efekt kuli śniegowej: im więcej “Kowalskich” korzysta z Gmaila, tym bardziej gwałcona jest prywatność tych, co z niego nie korzystają, ale z Kowalskimi korespondują.

      Jeszcze polecam lekturę komentarza przedmówcy: https://niebezpiecznik.pl/post/gmail-najbezpieczniejszy/#comment-690781

    • @Stanisław: nie decyduj za kogoś, co mu się należy a co nie. Niech zadecyduje sam. Do tego właśnie służy wskazany w artykule mechanizm analizy ryzyka (modelowanie zagrożeń). Zapytaj na ulicy, co dla kogoś jest straszniejsze: zostać okradzony z pieniędzy lub tożsamości, czy mieć świadomość, że firma która dostarcza tej osobie zakupy zapoznaje się z z zawartością jej skrzynki na listy i wykorzystuje to do sugerowania, jakie inne produkty może warto by było zamówić.

  48. Zapomnieliście o tagu „ARTYKUŁ SPONSOROWANY”

  49. Why ProtonMail Is More Secure Than Gmail – https://protonmail.com/blog/protonmail-vs-gmail-security/

    • Przy czym
      1. za Protona trzeba płacić (pierwszy minus), żeby z niego korzystać, co było w artykule, a i tak nie będzie mieć wszystkich funkcji jakie ma GMail, opisanych w artykule (jak już porównujemy 1:1 — drugi minus).
      2. Trzeba też zaakceptować te niedociągnięcia (https://eprint.iacr.org/2018/1121.pdf) (kolejne minusy),
      3. Ale największym problemem (z punktu widzenia Kowalskiego) jest i tak to, że Proton nie wspiera wspiera U2F (następny minus), czyli konto jest do przejęcia przez phishing, o czym też było w artykule.
      4. I nawet jak przełkniesz te wszystkie braki, to i tak będziesz wymieniał dane z użytkownikami GMaila (a wedle modelu ryzyka osób korzystających z Protona, przekazywanie swoich treści Googlowi jest niedopuszczalnym naruszeniem prywatności). Aha, o tym też było w artykule.

      I to by było na tyle, jeśli chodzi o to “większe” bezpieczeństwo Protona.

      PS. Swoja drogą linkowanie do ulotki reklamowej, to trochę nie na miejscu. Może jakieś niezależne porównanie przytoczysz, a nie takie trochę naciągane i niepełne opinie autorów jednego z rozwiązań? Ja trochę pomogę. Zdanie kolegów z zagranicy jest takie jak i moje: GMail jest lepszym wyborem dla większości (por. https://motherboard.vice.com/en_us/article/pa3ye7/protonmail-gmail-security-comparison)

      PS2. Żeby było jasne, powtórzę to co jest już w artykule — Proton nie jest zły. Ale nie jest też w mojej (i jak widać nie tylko mojej) opinii lepszy od GMaila na każdym kroku, a na pewno nie jest lepszy dla każdego użytkownika.

    • Pushing to bait jednak dla osób ograniczonych. Głównym wrogiem wolności są totalitarne zapędy państw, a nie mityczni hakerzy. Proton nie ma możliwości czytania korespondencji i tym dystansuje Gmaila pod względem prywatności. Do ilu z was próbował włamać się jakiś anon? Natomiast Służby waszą korespondencję mają w komplecie.

  50. Tylko w razie problemów, jak się skontaktować z supportem? ;)

    Ja ostatnio mam taki problem, że ktoś próbuje co chwilę “odzyskać” moje konto. Powoduje to, że mam na telefonie co chwilę powiadomienie z pytaniem “czy to ty”. Na bank mi któregoś dnia telefon zamuli albo w złym momencie wyskoczy powiadomienie i kliknę “tak”. Co wtedy, stracę konto? A komu napiszę, że nie chciałem kliknąć? I co mi z tego 2fa jak w tak głupi sposób można stracić konto?

  51. Jeśli ktoś pisze, że “Coma to kiepski zespół pop-rockowy” to dalej czytać nie muszę… nic ciekawego się nie dowiem z takiego artykułu… a zapowiadało się ciekawie…

  52. Proton Mail oferuje 2FA (Two Factor Authentication) nawet na darmowym koncie, tak samo jak Tutanota czy Mailfence, więc może Panie Piotrze Konieczny wyjaśnić w czym Google GMail jest bezpieczniejszy “Proton to bardzo dobra usługa, ale… pod katem bezpieczeństwa z GMailem przegrywa i żeby na poważnie z niej korzystać, trzeba kupić konto premium.”, bo z tego co przeczytałem to nie jest bezpieczniejsze, a tylko informuje o tym odbiorcę, że wiadomość może być fałszywa, pochodzić od fałszywego nadawcy lub zawierać fałszywe załączniki.

    Dodatkowo Google może ma wgląd do twojej poczty – https://www.quora.com/How-many-Google-employees-can-access-Gmail-data-How-secure-is-Gmail-data-within-Google
    oraz Google udostępnia twoją pocztę zewnętrzym firmą – https://www.thesun.co.uk/tech/7312296/google-read-gmail-emails-snoop/ oraz https://www.thesun.co.uk/tech/6684648/google-gmail-developers-read-emails-privacy/

    Wystarczy więc jeden tzw. “leak” z Google lub firm zewnętrznych, by twoja poczta oraz twoje prywatne wiadomości i dane stały się publiczne. To dyskwalifikuje Google GMail jak bezpieczną pocztę.

    • Panie Anonymous, proszę zwrócić uwagę, że ja nie zarzucam Protonowi braku 2FA a brak U2F. To spora różnica. Anonymous powinien ją znać ;) Reszty artykułów nawet nie chce mi się komentować, bo gdybyś je przeczytał to zauważyłbyś kiedy tezy z tytułów zachodzą, kogo (których użytkowników Gmaila i pod jakimi warunkami) dotyczą i jak bardzo są prawdopodobne. A “jeden” leak może się zdarzyć każdemu, to żaden argument przeciw jakiejkolwiek usłudze.

    • Preferuję 2FA, a nie przepadam za rozwiązaniem U2F, gdyż jest to rozwiązanie hardware, więc wystarczy jego utrata lub skopiowanie na zainfekowanym systemie i już po zabezpieczeniu.

      Testuję sobie natomiast “two-password mode” (w ProtonMail) oraz 2FA (Two Factor Authentication) w ProtonMail, Tutanota oraz Mailfence. Mam do konta hasła w formie zdania z symbolami specjalnymi oraz cyframi, więc złamanie ich jest bardzo mało prawdopodobne.

      “A “jeden” leak może się zdarzyć każdemu, to żaden argument przeciw jakiejkolwiek usłudze.” wolę jak ten “leak” nic nie da, bo emaile są zaszyfrowane w bazie danych, niż klucze jak i też dostęp ma Google oraz firmy zewnętrzne uprawnione przez Google.

      Kończąc, jeśli nie klika się w:
      – załączniki typu NAGA_LASKA.JPEG.exe
      – odnośniki od nieznajomych (“ciekawość to pierwszy stopień do piekła”)
      To GMail jest mniej bezpieczny niż jego konkurencyjne alternatywy moim skromnym zdaniem, a przynajmniej dla bardziej ogarniętego użytkownika.

      Warto też wspomnieć że od 22 stycznia 2019 roku Google aktualizuje regulaminy, więc jesli pamietasz afere z nowym regulaminem YouTube, który blokował nawet uzytkownikow nielamiacych regulaminu, to tutaj mamy podobny fragment:
      “Mozemy zawiesic lub przerwac swiadczenie Uslug uzytkownikowi, jesli nie bedzie on przestrzegal naszych warunkow lub zasad badz jesli bedziemy prowadzic dochodzenie zwiazane z DOMNIEMANYM niewlasciwym postepowaniem.”

  53. Ale macie świadomość, że te półtora miliarda kont wynika z tego, że każda osoba mająca androida ma założone konto google, by mieć np. dostęp do sklepu?

    • Aby miec dostep do aplikacji nie trzeba konta i gmaila. Instaluj z evozi z pliku apk.

  54. “Przesyłając, wgrywając, dostarczając, zapisując, przechowując, wysyłając lub odbierając materiały do lub za pośrednictwem Usług, użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie opracowań (dzieł pochodnych, na przykład przez wykonanie tłumaczenia, adaptacji lub innych zmian w celu zapewnienia lepszego działania z Usługami). Użytkownik w ramach tej licencji przyznaje prawa w ograniczonym celu obejmującym utrzymywanie, promocję i udoskonalanie Usług oraz tworzenie nowych. Licencja pozostanie w mocy nawet wówczas, gdy użytkownik przestanie korzystać z Usług (dotyczy to na przykład wpisu o firmie dodanego w serwisie Mapy Google). W niektórych Usługach mogą istnieć sposoby uzyskania dostępu do umieszczonych w nich treści oraz usunięcia ich. Ponadto w pewnych Usługach obowiązują warunki lub ustawienia, które zawężają zakres wykorzystania przez nas treści przesłanych do tych Usług. Użytkownik musi mieć niezbędne prawa do udzielenia powyższej licencji na wszelkie materiały, które przesyła do Usług.”

    • Jeśli nie jesteś prawnikiem to pewnie nawet nie rozumiesz co wkleiłeś.
      1) nie dotyczy to GMaila o którym jest artykuł, ale wszystkich usług
      2) jest informacja o zawężeniu i to właśnie spełniają przytoczone w artykule kontrolki prywatnościowe
      Ja rozumiem, że prawniczy język może być straszny, ale pomyślcie trochę zanim zaczniecie siać FUD. Porównajcie też Privacy Policies z innymi serwisami, nawet “głupim” Onetem. Włos się wam na głowie zjeży a konia z rzędem temu, kto mi w tych innych serwisach pokaże takie kontrolki prywatności jak ma Google (GMail) czy nawet Facebook.

    • Niestety dokładnie wiem co wkleiłem, google jednoznacznie stwierdził że internet jest ich i tylko żebyś dbał o to aby to co wyrywasz miało ważna licencje, dziwi mnie Twoje pobłażanie dla tego faktu, ale co poradzić.

  55. Moze ktos poratowac modelem ubikey ktory jest wart zakupu tzn tani i przyjmie tak do 10 aplikacji w jednym kluczu? bo chyba nie trzeba kupowac oddzielnie klucza dla kazdego serwisu?

    • Jeden klucz obskoczy wszystkie serwisy.

  56. Można mieć i poziom 100000F, a przez SMTP bez pgp i tak będzie poczta szła otwartym tekstem. Jedynie Protonmail -> Protonmail, albo jakaś konkurencja typu Tutanota zdaje egzamin, ale przecież nie możemy liczyć, że wszyscy znajomi i kontrahenci będą mieć Protonmaila. Jeżeli nie, to pójdzie zwykłym SMTP. Nie raz na jakieś skrzynki firmowe wysyłamy CV w odpowiedzi na ofertę pracy, a CV to dane osobowe i historia zatrudnienia. Jeżeli chodzi o włam na skrzynkę, to Gmail jest przed tym dobrze zabezpieczony, ale piętą achillesową zawsze będą protokoły pocztowe.

    • Nieprawda. ‘Zwykłe PGP’ wystarczy a już na pewno jego rozsądne i świadome używanie w korespondencji z (niektórymi przynajmniej ) ludxmi. :):P

      Pozdrawiam

  57. Dlaczego Apple Mail (iCloud) jest uznany za słaby? Zostało wspomniane w tekście, ale nie ma wyjaśnień. Nie ma tylu ostrzeżeń co Gmail, ok… a coś poza tym?

  58. Do wszystkich, którzy obawiają się o swoją prywatność – też tak miałem, ale okazuje się, że Google …jest w inwigilacji po prostu słabe.

    Korzystam z kilku kont gmaila, w tym także G Suite. Różne konta do różnych rzeczy, bo wiadomo – w razie czego to brak kontaktu do supportu. Tworząc konto do telefonu (zastosowanie: wyłącznie zabezpieczenie FRP) postanowiłem włączyć wszystkie personalizacje, bo jak mam już oglądać te reklamy, to niech będą chociaż potencjalnie użyteczne. Liczyłem się z tym, że Google i tak powiąże moje konta, bo w końcu mają lokalizację, adresy IP, fingerprinty przeglądarek, dane z urządzeń itp.

    Co się okazuje – personalizacja reklam jest słaba (i piszę to z perspektywy organizacji wydającej kilka tys. zł miesięcznie na adwords), wszelkie podpowiedzi od “inteligencji” googlowej w 95% nietrafione, a nawet w pewnym momencie postanowiłem zaryzykować i im podpowiedzieć korespondując pomiędzy swoimi kontami (dla wygody, potrzebowałem coś z telefonu przesłać) …i wszystko wskazywało na to, że dla Google byłem kimś dla siebie samego obcym. Dalsze opukiwanie i osłuchiwanie pokazuje, że wg Google jestem Hindusem i mieszkam na drugim końcu świata, mimo że telefon nigdy nie wyszedł poza granice Polski. Czyżby podpięcie lewego konta FB aż tak ogłupiło ich algorytmy?! Posiadają moje zdjęcia, historię lokalizacji, przeglądanych stron – i dla jasności, nie mam rozdwojenia jaźni; po prostu separuję różne prywatne i firmowe zastosowania kont.

    A na koniec podpowiedź: jeżeli chcecie “zabić” google, to zainstalujcie sobie …przeglądarkę Chromium – nie posiada ona kluczy API (trzeba samodzielnie wygenerować), co uniemożliwia zalogowanie się do usług google w normalnym trybie (z komunikatem “Coś poszło nie tak. Spróbuj jeszcze raz.”). Trzeba wykorzystać tryb prywatny, albo przełączyć się na profil, gdzie mamy wygenerowane klucze.

    • To tylko dlatego, ze nie wspolpracuja z zadna z instutucji z ktorej kozystasz.

      Jak tylko dorwa sie (od kontraktow na dane po sprzedarz komponentow IT) do twojego Ubezpieczyciela, Banku, Pracodawcy i temu podobnym ladnie skoreluja twoje dane i sie zacznie karuzela… Rownie dobrze mozesz zaczac olewac bezpieczenstwo juz teraz, zaczac instalowac exe’ ki i klikac+dzwonic w podejrzane bannery.

    • @WzburzonyMis – problemy z czytaniem masz od dziecka, czy to nabyty brak myślenia? Skoro nie potrafią skorelować danych, które mają już teraz u siebie, to obcych danych też nie skorelują.

  59. A co z Gmail na smartphone Android. Jak wymusić zabepieczenia logowania się do Gmail.
    Tutaj bardzo prosto dostać się do Gmail znając PIN dla zabezpieczenia telefonu.

  60. Sam mam 2skłądnikowe logowanie na swoich kontach (gdzie się da) i jakieś 2 miesiące temu przyszedł SMS od googla czy potwierdzam próbę logowania… jak się okazało z Meksyku…
    Ale co się stanie jeśli mój token/dongiel U2F postanowi się zepsuć/zginąć/spłonąć/uprać się…

    • Trzeba mieć ZAWSZE podpiete 2 klucze U2F, w tego jeden przy sobie, drugi w domu.
      Dodatkowo wygenerować sobie kody odzyskiwania i przechowywać je analogowo w bezpiecznym miejscu.

  61. Moglibyście kiedyś wprowadzić jakiś jasny layout strony, taki normalny, dla nie-h4kerów, bo oczy bolą.

    • Mi bardziej przeszkadza zbyt mała czcionka. Muszę powiększać stronę tak z 25% aby czytało się komfortowo.

      Poza tym zgadzam się z autorem artykułu. Gmail jest najlepszy dla Kowalskiego. A jak komuś nie pasuje to niech płaci za inne usługi pocztowe gdzie wcale nie ma gwarancji że jest jest lepiej pod kątem prywatności / bezpieczeństwa.

    • A mnie takie czarne tlo w 100% odpowiada czcionka jest ok,..okulary kupic do okulisty.

  62. Kurczę, a mnie nie działa na JEDNEJ PRZEGLĄDARCE weryfikacja dwuetapowa. Tzn. działa AŻ ZA DOBRZE. Kiedy zaznaczam opcję “zaufaj temu urządzeniu”, to – niestety – przy następnym włączeniu kompa, zamiast zalogować się bez podawania kodu z googla, ponownie jestem do tego zmuszany. Rzecz dotyczy jedynie CHROME :) Wie ktoś, o co może chodzić?

    Pozdrawiam, J.

    • Wyczyść ciastka, na 100% to będzie to

  63. Podsumowując artykuł oraz wszystkie komentarze można ZDROWO ROZSĄDKOWO napisać (przyznam się, że własnie tak robię). Jest to wersja nie dla paranoików:

    1. Konto na gmailu jako “główne”, zabezpieczone przynajmniej 2FA, a najlepiej U2F.
    Na to konto przychodzą wszystkie maile oficjalne oraz “maszynowe” czyli generowane przy zakupach internetowych*, ten adres mają “ważne serwisy internetowe/usługi (FB, Allegro itp)”, banki, chmury itp.

    Ja ta robię od dawna, dzięki temu jestem w stanie sprawdzić kiedy co kupiłem (np ekspres do kawy 10 lat temu) itd. Nie przeszkadza mi to, tak wiem, że jestem tym profilowany. Mój wybór. Aaa i z Google Pay** też korzystam – skubańcy wiedzą, że codziennie przed pracą kupuję w Społem coś za 1,40 zł – hmm pewnie to dwie bułki… jedna żytnia, druga z ziarnem ;)

    *- zakupach, których nie chcemy ukrywać ;-)
    **- tutaj w sumie mam pytanie Google Pay i podpięta karta – tutaj chargeback działa normalnie jak coś?

    2. Konto główne prywatne (tutaj ProtonMail lub Tutanota – osobiście preferuję Tutanotę, ale to pewnie kwestia przyzwyczajenia). Oczywiście też jedyne dostępne 2FA.
    Jest to konto do prywatnych korespondencji. Używane rzadko wbrew pozorom.

    3. Konto nieoficjalne – ja korzystam z drugiego konta w Tutanota (również z 2FA), jest to konto które podaję w celu logowania w mniej ważnych i oficjalnych usługach – fora internetowe, jakieś mniej ważne usługi. Używam go też jako maila dla osób które mniej znam/nie znam w realu.

    4. Konto „spam konto” – ja od wielu, wielu lat mam je na o2 (i żyję).

    5. Konto „jednorazowe” – na zakupy które chcemy ukryć, jakąś sprzedaż czegoś na OLX itd. Robimy co trzeba i kasujemy konto (akurat używam do tego konta na Interii (można tworzyć i zmieniać do 4 ekstra aliasów – tworzymy alias, robimy co trzeba, kasujemy alias).

    Najlepiej by było jak byśmy na każde z powyższych kont wchodzili z innych przeglądarek (czy rożnych kontenerów w Firefoxie – swoją drogą polecam ten dodatek – można sobie przypisać poszczególne adresy do poszczególnych kontenerów i nie przejmować się pilnowaniem otwierania konkretnych serwisów w konkretnym kontenerze).

    6. Przeglądarki www – u mnie główny do Firefox (+Multi Container), do przeglądania „prasówki” jest Chrome, korzystam też Opery (coraz rzadziej), Pale Moona i Vivaldi.

    7. Jak korzystamy „z porno stronek” to wykorzystujemy do tego inną przeglądarkę+tryb prywatny. A jeszcze lepiej odpalamy Linuxa pod VM, tam odaplamy VPNa (losowy serwer, inny serwer jak na PC hoście) i tryb prywatny w jakieś przeglądarce.

    8. Hasła – wszędzie inne, generowane + różne managery haseł. W moim przypadku konto główne (Gmail) oraz najważniejsze, kluczowe serwisy przechowywane są w bazie Keepassa (offline). Serwisy mniej ważne, oraz banki itp to Bitwarden (ale bez wtyczki w przegladarce). Cała reszta to LastPass + wtyczka w przeglądarce + apka w telefonie.
    Jeśli korzystam z banku to tylko na domowym PC lub poza domem to tylko własny telefon i tylko na aplikacji bankowej.
    Tutaj przy okazji wychodzi słabość banków w Polsce, że żaden mi znany dla przeciętnego usera nie udostępnia (jako opcję) logowania z 2FA i U2F – co jest dla mnie mega dziwne, to bankom powinno zależeć na bezpieczeństwie. Tutaj myślę, że Niebezpiecznik mógłby pociągnąć temat w bankach, czemu tego nie ma. A podejrzewam, że nie jest to drogie rozwiązanie we wdrożeniu.

    9. Jako 2FA używam Authy, bo można bazę backupować/przenosić.

    10. Antywirus na PC – w sumie byle był, skuteczność czołówki podobna. Ja od jakiegoś czasu przeszedłem w domu na wbudowanego w system Windows Defendera i co? I żyje ;-)

    11. VPN – prywatnie od kilku lat używam NordVPN.

    12. Jak za coś płacimy w sieci, to płacimy kartą (Google Pay) – chargeback (sam korzystałem z tego 2 razy w życiu – za każdym razem pozytywnie). Przy transakcjach za kilka złotych korzystam tez czasami z Blika. NIGDY nie korzystamy z szybkich płatności (po co logowac się do banku, podając parę login/hasło – po prostu minimalizujemy ryzyko – zwłaszcza że w banku nie ma 2FA/U2F).
    W pracy/znajomymi między sobą rozliczamy się przelewami na telefon BLIK – typu oddanie komuś kasy za zakupy, składka na Netflixa itd. ;-)

    13. Wypłaty z bankomatów – BLIK – minimalizujemy ryzyko związane ze skimmingiem.

    14. Minimalizujemy podawanie swoich danych do absolutnego minimum – nie ważne czy to sklep, bank itp.
    A już zwłaszcza nie dajemy skanować/kserować swojego dowodu osobistego. To na prawdę nikomu nie jest potrzebne. W ostateczności dokładamy swój napis na skanie „skan dla XXX w celu XXX data XXX”.

    15. Najważniejsze zabezpieczenie – MÓZG. Myśleć, myśleć i jeszcze raz myśleć. Patrzyć gdzie się loguje, sprawdzać link, kłódkę i certyfikat. Nie klikać gdzie popadnie. Czytać SMSy potwierdzające z banku. Czytać, pomyśleć, zrozumieć, i dopiero działać!

    Oczywiście tam gdzie się da odpalamy U2F/2FA.

    BTW: Pojawiły się klucze Yubikey U2F z NFC (są po $27 + VAT). Wersja budżetowa w stosunku do YubiKey 5 – dla 95% userów całkowicie wystarczająca. I działa na telefonie bez zbytniego kombinowania.

    UFFF ale wypracowanie mi wyszło ;-)

    • Jakbym tak miał się zabierać do porno stron to wolałbym żyć w ciągłym napięciu ;).

  64. Bullshit. Fakty połączone z mitomaństwem, że magicznym skanerem wpuścicie magicznego exploita w serwery pocztowe. Chyba, że mają spartaczoną konfigurację.. .

    Wystarczy dobra polityka bezpieczeństwa takiego serwera, parę małych sztuczek i chińczycy mogą naskoczyć.
    Poza tym jeśli mam wysyłać mega pilne tajne dane, to nie czystym tekstem.
    Trzeba wdrażać procedury, ustawiać mocne hasła, używać szyfrowania, nie wystawiać wszystkiego pod publikę, korzystać z SSL VPN, i aktualizować, oraz odpowiednio skonfigurować firewall’a. No ale może ja się nie znam :).

    • Artykuł jest dla przeciętnego Kowalskiego, nie dla super hakera, który przesyła ściśle tajne dane… Weź zluzuj trochę kolego.

  65. Artykuł zawiera poważny błąd merytoryczny dotyczący bezpieczeństwa. We fragmencie dotyczącym szacowania ryzyka autor przekonuje, że gmail jest dla tych, którzy priorytetyzują bezpieczeństwo a na pytanie

    “2. PRZED KIM muszę chronić wartości ustalone w pkt. 1? ”

    odpowiadają:

    “Google lub służby specjalne, które mają dostęp do serwerów Google przez pracowników-agentów”

    Otóż nie jest to prawda. Grono potencjalnych podmiotów, które mogą wykorzystać dane zbierane przez Google jest o wiele szersze. Nie są to tylko:
    a) Google,
    b) służby specjalne, które mają dostęp do serwerów Google przez pracowników-agentów

    ale też:

    c) służby specjalne, które mają dostęp do serwerów Google innymi drogami
    d) każdy inny podmiot, który będzie w stanie przekonać lub zmusić Google do oddania danych użytkowników

    i ten ostatni punkt jest oczywiście najszerszy. Aby w pełni zdać sobie sprawę z tego, jak szeroka jest to gama potencjalnych nadużyć, trzeba umieć wyobrazić sobie świat za 10-20 lub więcej lat. Autor artykułu pomija ten wątek, przez co wprowadza czytelników w błąd. Daje złudne poczucie bezpieczeństwa korzystającym z gmaila. To szczególnie godne ubolewania w takim serwisie jak niezbezpiecznik.

    • Szczególnie godne ubolewania jest to, że nie zauważyłeś Wojtku, iż ramka do której się odnosisz jest wskazaniem jak _samodzielnie_ przeprowadzić analizę ryzyka i podany poniżej przykład (który cytujesz jako “odpowiedź”) jest …przykładem i wskazaniem kierunku. Twoje rozszerzenie przykładu o c) i d) jest redundantne (pytanie na ile w ogóle prawdopodobne?) i idąc w tym kierunku można również zaryzykować stwierdzenie, że niepełne. Bo a nuż dane zobaczy jakiś jasnowidz. Też trzeba byłoby go uwzględnić w analizie ryzyka w takim razie ;)

  66. “Jeśli chcesz sprawdzić, o jakich Twoich zakupach wie Google, przejdź na tę stronę, a zobaczysz listę podobną do tej: (…)” – to moje google chyba się zepsuło :/ Pokazuje jeden zakup z 2013 i jeden z 2014.
    Kupuję sporo, włącznie z amazonem, ebayem (de/uk/fr) i kilkoma stronami z dalekiego wschodu. Wszystkie maile przechodzą przez skrzynkę gmail… A tu niby kupiłem tylko dwie rzeczy – zawiodłem się :)

  67. Artykul a zwlaszcza click-baitowy tytul zakrawa na obelge dla czytajacych.

    Najpierw pie* o bezpieczenstwie poczty – bo zli ludzie chca zhakowac i przejac, a potem jak gdyby nigdy wspominamy o tym ze google moje dane tak zwyczajnie sprzedaje tym mistycznym “prawym i uczciwym reklamodawcom” bo to wcale nie sa bardzo czesto ci sami ludzie…

    Brawo niebezpiecznik, pokaz prawdziwej klasy — no chyba, ze ta ftopa byla zgola niespodziewana, w ktorym to przypadku musze pogratulowac zamozaorania zaufaniem panu gKoniecznemu…

  68. Kochana redakcyjo…Zohoomail…nie podaliscie??? a dlaczego??
    Ma to samo co gmail..prawdopodbnie jest tak samo ok jak protonmail..(dlaczego proton jest slabawy?)

    The Intercept pisal: that its on 3rd place what abc agency have hard probem to break them.. Na 4rtym miejscu bylo tylko szyfrowanie.

    Napiszcie co sadzicie o zohomaiu.

    • Nie “podałem” także wielu innych dostawców. Bo ten artykuł ich nie dotyczy. Chciałem napisać o wyróżniających GMaila zaletach i trochę pokazać jak powinno się myśleć o bezpieczeństwie w kontekście prywatności. To nie jest przewodnich po “skrzynkach pocztowych”. Ale może kiedyś starczy sił aby podobnie zanalizować innych dostawców, jeśli będzie więcej zainteresowanych takimi publikacjami Czytelników.

  69. Staczecie sie, wiec chyba pora zaczac doinformowywac sie na ktoryms z bardziej profesjonalnych portali. Tak mysle ze zaczne od sprawdzenia jak sprawy stoja na “Pudelku”…

    Tak, dokladnie – po przeczytaniu tego “artykulu” zdecydowalem sie wywalic niebezpiecznika z zakladek. Udanego zycia Zycze.

  70. Gmail jest szpiegowany przez pewne służby! NSA potem “odsprzedaje dane”. Do zastosowań bezpiecznych można zaliczyć protonmail.com Śmieszy mnie polecanie gmaila przez niebezpiecznika jak przed nim ostrzega GIDO

    • Czy mógłbyś wskazać jakieś źródła na poparcie każdego z Twoich stwierdzeń?

    • Piotrze moj imienniku polecam wysłać maila z gmail na gmail i z gmail na inna poczte potem z innej poczty na gmail i z innej poczty na inną pocztę i sprawdzic czas dochodzenia wiadomości :)

  71. Fajny artykuł. Mam gmaila, chociaż akurat mało z niego korzystam. Nie jest to moje główne konto pocztowe. Sprawdziłem zgromadzone na mój temat dane, przejrzałem zawarte w artykule linki i Google wie zaskakująco mało na mój temat. Właściwie nic ważnego.

    Natomiast bardzo śmieszą mnie wypowiedzi niektórych komentujących, którzy robią cuda na kiju: odpalają swoje serwery u wuja/brata/stryja ze strony ciotki z Bełchatowa, komunikatory, zakładają czapkę z aluminium na głowę, żeby wysłać wiadomość do rodziny i znajomych zapewne pokroju “Jadę do domu, skarbie”, “Co kupić na obiad?”, “Jutro impreza u Zygi, nie zapomnijcie”.

    Bo naprawdę nie wiem jakie to wiadomości wielkiej wagi można wysyłać do rodziny i znajomych – a które jednocześnie byłyby interesujące dla kogokolwiek ważnego (policja, służby) – żeby tak się zabezpieczać. To jakby przed seksem nie tylko założyć prezerwatywę, ale jeszcze owinąć się streczem, a wybrankę serca umieścić w pokoju kilka ulic dalej. I jeszcze trzeba ją namówić, że to najlepszy sposób i “będzie świetna zabawa, kochanie, zobaczysz”, a tylko ignoranci tak nie robią :).

    Półtora miliarda ludzi korzysta z Gmaila, a pozostałe miliardy z innych bezpłatnych usług tego typu. I raczej trzeba się pogodzić z faktem, że będąc paranoikiem nie jestem w stanie namówić do paranoi innych. A tym samym – chcę czy nie – to co piszę w internecie i tak trafia i jest analizowane gdzieś, przez kogoś, po coś, bo wycieka poprzez znajomych i rodzinę.

    • Polecam – https://en.wikipedia.org/wiki/Nothing_to_hide_argument

      Ja NIGDY nie będę korzystał z GMail’a gdyż cenię sobie prywatność, a bezpieczeństwo końcowe mam wyższe niż zapewniłby mi GMail. Na szczęście ja mam wolny wybór, a widać że Ty byś chciał by każdy korzystał z tego samego.

    • “Google wie zaskakująco mało na mój temat. Właściwie nic ważnego.”

      A skad takie wnioski? Przetrzepal im pan serwery???

    • Oczywiście, że nie. Tylko na tyle, na ile mogłem sprawdzić wskazanymi w artykule linkami na moim koncie. Może pan zauważył ten fragment artykułu o podtytule “Brutalna prawda”. W kontekście pana pytania jest to ważny fragment, który trzeba przeczytać i przemyśleć.

      Korzystam z internetu od kilkunastu lat. Dostaję podobny spam jak wszyscy, nigdy nie miałem na komputerze wirusa, nigdy nikt nie ukradł mi konta. Wciąż nie mogę wyguglać swojego imienia i nazwiska czy innych danych. Jestem na tyle bezpieczny na ile mogę to sobie zapewnić stosując się do prostych zasad i korzystając z usług dużych firm, które rzadko są obiektami kontrowersji (na przykład nie korzystam z Facebooka). Mam tylko Windows Defendera, korzystam z menedżera haseł, nie otwieram podejrzanych załączników w poczcie, zanim zapłacę za transakcję w sklepie zawsze czytam wszystko co z nią związane, a korzystam tylko ze sklepów które znam i nigdy mnie nie oszukały lub istnieją od wielu lat.

      Wiem jedno: sieć jest globalna i aluminiowa czapka nic mi nie da, bo nie odizoluję siebie i swoich znajomych od niej. Zwłaszcza dla nich się nie odizoluję.

    • @Imię – widać to tylko to co sam chcesz zobaczyć. Opisałem jak ja robię i że nie narzekam. I mało mnie interesuje czy ktokolwiek pójdzie tą samą drogą. Jeśli ktoś lubi czapkę z aluminium – jego sprawa. Najważniejsze jest racjonalne podejście, a nie paranoja.

  72. Jeśli chodzi o zaawansowaną ochrone konta to po włączeniu i podpięciu kluczy U2F automatycznie usuwane są inne opcje dwuskładniowego uwierzytelnienia i zostaje tylko klucz U2F.

  73. Co a to słaby zespół? No cóż skoro wolisz Sławomira…

  74. Czy jakiś bank w Polsce stosuje U2F i jeżeli nie to dlaczego?
    Na czym polega trudność z U2F, że tak rzadko jest stosowane ?
    Kilka lat temu w Skandynawii spotkałem się z dość powszechnym stosowaniem tokenów do generowania haseł jednorazowych w bankowości elektronicznej. Jak już wysyłamy klientowi token to może mieć on funkcję U2F.

    • To doskonałe pytanie. Wiem, że kilka banków rozważa, jeden jest już nawet blisko, ale nic więcej nie mogę zdradzić ;) Natomiast odpowiedzią na pytanie dlaczego nie jest to co zwykle: koszty. I nie do końca tak duża wartość z tego rozwiązania jak w przypadku np. GMaila czy FB. W banku istotnej operacji nie zrobisz bez mTAN, więc U2F chroniłoby jedynie przed nieautoryzowanym uwierzytelnieniem (nie autoryzacją transakcji).

  75. Niezłą burzę wywołałeś tym wpisem, ja tam używam zarówno gmaila jak i protona każdy do innych zastosowań.
    btw. jeżeli chodzi o bezpieczeństwo przeglądarek to stety niestety chrome też raczej nie ma sobie równych :)

    • Raczej dałem możliwość burzy do publicznej dyskusji w jednym miejscu. Bo to właśnie takie małe pioruny w kilku miejscach na przestrzeni ostatnich miesięcy skłoniły mnie do napisania tego artykułu. Aby Ci co piorunami rzucają mogli szerzej i bardziej kompleksowo spojrzeć na zagadnienie. A Chrome również polecam (wspominając jednocześnie o jej “telemetryczności”).

    • Zawsze można skompilować swojego forka Chromium (lub wybrać jeden z gotowych z wywalonymi usługami śledzącymi, jak np. Iron) :)

  76. Zazwyczaj bardzo cenię wasze artykuły, w szczególności argumentację “pod zwykłego użytkownika/użytkowniczkę”, niestety tym razem trochę trolujecie.

    1. Zaawansowane ustawienia bezpieczeństwa wraz z 2FA/U2F to coś, od czego laik będzie trzymał się jak najdalej, ponieważ utrudnia korzystanie z usługi. W związku z czym nie jest to zbyt dobry argument. Oczywiście tym bardziej gmail ma tu przewagę ze względu na olbrzymią wiedzę i siłę roboczą, którą dysponuje (wraz z wszystkimi ostrzeżeanimi, o których piszecie).

    2. Przekonywanie ludzi do korzystania z gmaila w dłuższej perspektywie niszczy internetowy ekosystem dla nas wszystkich. Już w tym momencie google (czy raczej alphabet) jest ponadnarodową korporacją, która niewiele sobie robi z praw użytkowników i użytkowniczek. Używanie ich usług nie zabezpiecza nas w żaden sposób przed samym googlem.

    3. Przywoływanie tego arykułu analizującego błędy w protonmailu jest trochę nieuczciwe. W podsumowaniu autor pisze:

    > However, these features are deemed insufficient for ProtonMail to meet its
    > security goals, and it is our conclusion that no webmail-style application
    > could.

    Czy to mocny zarzut pozostawiam jako ćwiczenie dla czytelniczek.

    Pomijając to, że nie przywołujecie żadnego argumentu na poparcie tezy “fastmail jest bezpieczniejszy od protonmaila”. W szczególności warto zwrócić uwagę, że serwery fastmail są w Australli, która nie słynie z poszanowania swobód obywatelskich.

    Oczywiście mówimy tu o trochę różnych rodzajach bezpieczeństwa, ale myślę, że szczególnie w przypadku usług dostarczanych przez google, warto zwracać uwagę na ten drugi rodzaj.

  77. Bezpieczny jak cholera.
    Pilnuje bezpieczeństwa sztab ludzi, reagują od razu, pełen profesjonalizm, same ochy i achy, tylko jakoś autorowi się zapominało o takiej usłudze Google+. Jakie było podejście do sprawy przez Googla. Dane użytkowników wyciekały tygodniami (nawet oni sami nie wiedzą jak długo). Później jak się zorientowali, że jest lipa to co robili, zamietli sprawę pod dywan.
    Tak Gmail jest bezpieczny, przynajmniej tak się nam wydaje.

    • Autorowi się nie zapomniało. Przegapiles link do tego właśnie artykułu w treści…

    • Dokładnie to, co jest napisane w moim artykule. Jeśli ktoś nie ma U2F, to jest podatny na phishing.

  78. W zasadzie w każdym artykule polecane jest uwierzytelnianie dwuskładnikowe z wykorzystaniem U2F. Czy jest gdzieś na Niebezpieczniku artykuł który skupiałby się tylko na opisaniu U2F, jego wykorzystaniu w praktyce, porównaniu np. możliwości różnych kluczy Yubikey etc?
    Nie mogę znaleźć nic kompleksowego, tylko dość pofragmentowane informacje w różnych artykułach. Jeżeli nie ma, może warto byłoby coś takiego wydziergać?

  79. Kilka razy padło to pytanie, myślę Piotrze, że jako apologeta, czołowy fanboj i promotor Apple’a powinieneś odpowiedzieć. ;) Jak się ma poczta iCloud do Gmaila z perspektywy tzw. świadomego użytkownika? Brak sprzętowego 2FA – jakieś jeszcze niedomagania?

  80. Z częścią argumentów autora sie zgadzam. Ale chyba sporo czytelników poraził ten styl. Niestety z drugiej strony takich wykształconych “wyznawców” jest wielu. Wywolaliscie mode i to jeden z powodow tych 40% udzialu (cale szczescie ze jeszcze 60% nadal jest w Polsce). Potem będą organizowac “ruch oporu” jak juz google przejmie kontrole nad 90% mózgów mieszkańców ziemi i będą zastanawiać sie jak do tego doszlo ;) Narazie zarabiają na reklamach, jasne to pikuś. A co jak wykorzstają dane do personalizowania newsów albo oferowania ubezpieczeń? Myślicie że wtedy napiszecie artykuł ze Gmail juz jest be i to sie odkręci? Otóż nie, pomagacie tworzyć bardzo niebezpieczny monopol, bez precedensu w dziejach świata, bo nie państwowy tylko prywatny i nie oparty o zasoby lub kapitał z czym potrafimy sobie radzić (wojsko, denominacja) ale o dane które będą niezwykle trudne do odzyskania/wykasowania. Totalny Orwell tego chcecie? Cena za tą “wygodę” będzie duża, lepiej to powstrzymać i wrócić do sprawdzonych w dziejach sposobów płatności – własnymi, zarobionymi pieniędzmi. Różnica? Taka sama jak między feudalizmem a kapitalizmem – dla mnie istotna. To promujcie a nie nabijajcie ludzi w balona, zastraszając i wprowadzając w błąd. Jeśli inne skrzynki są takie dziurawe to proszę (pozwalam oficjalnie, bezkarnie) zhackować moją skrzynke, bez uzycia innych danych. Masz adres e-mail, masz serwer hackuj. Nie wiem jaki bedzie efekt nie kwestionuje umiejetnosci, ale na dowod sukcesu prosze zamiesc ponizej tresc maila ktory Ci tam zostawiam, wtedy uwierze. Z tego co wiem najslabszym ogniwem jest czlowiek i jego zachowanie np. to samo haslo wszedzie i przed tym gmail ani nikt nie zabezpieczy. Wiec po co onanizować sie nad innymi zabezpieczeniami skoro 99% ludzi nie robi NIC by sie zabezpieczyc. I uwaga 99,99% z nich nie ma zadnych negatywnych skutkow tego zachowania. Nie siejcie zatem paniki choc wiem ze to na niej wlasnie zarabiacie i od tego jest ten blog. Trzeba przyznac ze bardzo dobry :) Ale serio wiecej refleksji zycze.

  81. Aż dziwne, że w artykule w seriach linków do ustawień nie ma jakiegoś ‘i tutaj’ prowadzącego do np niebezpiecznik.pl/klikam-w-co-popadnie ;-)

  82. Czy jeśli przez nieuwagę podałem dane do swojej karty na stronie, która się podszywała pod stronę Apple, to ta karta jest już spalona? Oczywiście ją zablokowałem od razu po tym zdarzeniu. Generalnie wyskoczyła walidacja, że ta karta jest błędna i mi wyczyściło formularz, no ale…. Ktoś ma z tym doświadczenie? Dzięki.

    • Traktowałbym ją jak spaloną. Po co ryzykować pieniędzmi? To tylko karta, zaraz załatwisz sobie drugą.

  83. @Piotr Konieczny, tak to niestety jest, że kiedy człowiek ma własne zdanie na jakiś temat czelność, żeby je wyrazić, to potem musi godzinami tłumaczyć, że nie jest wielbłądem :) Z tego co widzę połowa Twoich komentarzy to sprostowania do bzdur, które ludzie piszą o artykule.

    Sam korzystam z usług Google, choć również mnie przeraża skala pozyskiwanych przez tę firmę informacji, a sam proceder uważam za co najmniej wątpliwy moralnie. Niemniej stroniąc od spiskowych teorii dziejów, daleki jestem od podejrzeń, aby Google wykorzystywało informacje na mój temat do czegoś więcej, niż tylko przesyłanie mi reklam, co zresztą jakiś czas temu zablokowałem i ograniczyłem przesył danych do Google, do minimum. Co więcej, zakładam, że Google rzeczywiście tych danych nie magazynuje. Mam po temu trzy powody:
    1) Ilość metadanych z całej sieci jest ogromna. Wystarczy wspomnieć problemy agencji rządowych w USA z ich magazynowaniem opisane w aferze Snowdena. Długoterminowe przechowywanie wszystkiego byłoby co najmniej kłopotliwe.
    2) Kwestie wizerunkowe: Google zarabia na swojej popularności. Co by się z nią stało, gdyby dzięki kolejnej niepokornej duszyczce z dostępem do tajnych informacji, wyszło na jaw, że cała ta polityka prywatności i ograniczanie kontroli danych to pic na wodę? Agencje rządowe mogą sobie na takie afery pozwolić. Politycy się zmienią, kogoś tam skarzą i sprawa po jakimś czasie pójdzie w zapomnienie. W dodatku politycy dziedziczą pewne rzeczy w spadku po poprzednikach i nie do końca mają nad tym kontrolę. Dla firmy, która sama kontroluje swoje działania, byłoby to duże i, w mojej opinii, nieuzasadnione ryzyko.
    3) Nie mam pojęcia, czy są jakieś statystyki na ten temat, ale byłbym szczerze zdumiony, gdyby w skali światowej było więcej niż 2-3% osób korzystających z Google, które kiedykolwiek otworzyły panel z ustawieniami prywatności w koncie Google i zablokowały magazynowanie danych na ich temat. Biorąc pod uwagę ogrom metadanych, które i bez pomocy tego ułamka ludzi spływa na serwery Google, kłamanie w żywe oczy byłoby dodatkowo nieracjonalne. Jestem w stanie wyobrazić sobie coś takiego w związku z poszczególnymi osobami, ewentualnie jakimiś grupami, ale nie oszustwo w skali masowej. A takie “poszczególne osoby”, których by to dotyczyło i tak powinny same z siebie być tego świadome. Jeżeli nasz ukochany Kowalski zablokuje sobie historię swoich lokalizacj w Google, to naprawdę nie widzę powodu, czemu Google miałoby się do tego wtrącać.
    Dlatego wierzę, że Google rzeczywiście działa mniej lub bardziej tak, jak przekonuje. Nie znaczy to, że wierzę tej firmie bezgranicznie, ale analiza ryzyka skłania mnie do przypuszczenia, że raczej nie znajduję się w grupie, dla której warto byłoby narażać PR tak dużej firmy na szwank. Stąd uważam, że Google respektuje moje ustawienia prywatności.
    Problemów z gromadzeniem metadanych, ich analizą i szpiegowaniem społeczeństwa jest naprawdę wystarczająco dużo. Nie trzeba ich mnożyć i kreować nowych teorii spiskowych. Mam wrażenie, że niektórzy już snują wizję świata, gdzie Wielki Brat patrzy na każdego i wszędzie. Tymczasem do zrealizowania takiej wizji trzeba czegoś więcej niż tylko narzędzi, które hipotetycznie to umożliwiają. Niemniej dyskusja na temat moralności i etyki procederu profilowania i zbierania metadanych jest otwarta i niezwykle ciekawa. Osobiście jestem zdania, że jest to nieoderwalna właściwość świata, w którym przyszło nam żyć. Po prostu nie da się tego uniknąć, tak jak i wielu innych złych rzeczy. To nie znaczy, że one są dobre, ani że można je ignorowac. Po prostu nic nie da się z nimi zrobić. Opresja państwowa, demokracja, konieczność utrzymywania sił zbrojnych, gwarancja wzajemnego zniszczenia, powstrzymująca supermocarstwa przed wyniszczającymi wojnami. To wszystko tzw. zło konieczne, w którego unicestwienie wierzą głównie anarchiści. Od czasu do czasu trafi się wśród nich jakiś rewolucjonista, który rzeczywiście coś odmieni na lepsze, ale rzadko odbywa się to bez ofiar. No, ale to już inna historia :)
    Moim zdaniem dużo większym i bardziej realnym do rozwiązania problemem od faktu profilowania są coraz powszechniejsze prawa ograniczające możliwości szyfrowania informacji.

    • Jeden z niewielu merytorycznie wartościowych komentarzy.
      I tak jak podkreślasz w punkcie 3, jak również podkreśla autor artykułu, G to nie jest rozwiązanie dla każdego.
      Dla przeciętnego Kowalskiego tak ale dla nieprzeciętnego polityka czy dziennikarza czy aktywisty, z pewnością nie.

      Druga sprawa, mnie również martwi oddawanie ogromnej władzy w ręce wątpliwego moralnie monopolisty.

      Cóż, pożyjemy zobaczymy, co z tego wyjdzie.

  84. Od dawna podzielam pogląd, że GMail jest technicznie bezkonkurencyjny, mimo to sam od lat już nie korzystam i nikogo nie zachęcam do używania. Problem z brakiem prywatności i poufności, profilowaniem etc. jest znacznie poważniejszy niż “o rany, Gugiel się dowie, że kupiłem dyskografię Comy!” Może w skali jednostkowej przeciętny szaraczek oddający swoje dane ryzykuje niewiele – tylko daleko idącą nierównowagę informacyjną w relacjach z firmą, co raczej nie jest dobre w stosunkach cywilno-prawnych (w ogóle w życiu), i to, że nigdy nie będzie mieć pewności, jak zebrane dane zostaną wykorzystane, szczególnie w przyszłości.

    Gorsza konsekwencja polega na tym, że ta nierównowaga przenosi się  na skalę makro – ogromne skumulowane zbiory danych o jednostkach dają wiedzę i – w praktyce – dużą władzę firmie, na którą szaraczek nie ma wpływu nawet w postaci kartki do głosowania. Potem jest wielkie zdziwko, że zebrane do kupy banalne dane o ludziach mogą posłużyć np. do spersonalizowanych kampanii politycznych adresowanych wg frustracji, preferencji i życiowych deficytów.

    Wyjątkowo paskudna jest także i ta okoliczność, że korzystając z usług wymuszających rezygnację z prywatności ciągnie się za sobą hurtem bliskich i znajomych, niejako zakładając, że oni też nie mają nic przeciwko paradowaniu z gołą d..ą po internetach. W ten sposób przesunięta “dobrowolnie” za jakieś drobne korzyści granica prywatności staje się z czasem normą obowiązującą wszystkich. Serio uważacie, że to jest cena jaką warto zapłacić za satysfakcję, że ho, ho, mam takie super-duper konto, co ma U2F i nikt wirusa nie podeśle?

  85. Ciekawy artykuł. Dzięki Piotr Konieczny

  86. Czemu protonmail się nie podoba ?

  87. Nie lepiej kupic sobie domene i utworzyc skrzynke? Nikt przynajmniej nie bedzie czytal waszych wypocin jak to robia w kazdej darmowej poczcie. Niby bezpieczesntwo ale wasze dane sa czytane, to jakie to jest bezpieczesntwo i czego?

  88. GMail z rozsądnie skonfigurowanym kontem – tak jak to zasugerowano pod koniec artykułu – jest ok, do standardowych potrzeb. Dodatkowo warto właśnie mieć drugie konto na Protonmail lub Tutanota (którą to niedawno odkryłem i powiem szczerze jestem miło zaskoczony) plus tak jak ktoś wspomniał powyżej trzeci mail byle gdzie dla samego spamu i mało istotnych miejsc.

    Przeglądając różnego rodzaju ‘hakerskie’ fora można dostrzec jedna interesującą rzecz. Większość wycieków danych z adresów email to właśnie onety, wirtualne polski i inne tego pokroju skrzynki. Tam bardzo łatwo się dostać jak już się ma hasło. A do Gmaila nawet bez włączonej dwustopniowej weryfikacji, co poniektórzy ‘hakerzy’ i tak się nie dostaną. Właśnie ze względu na różne mechanizmy bezpieczeństwa, które implementuje Google w swoich usługach.

  89. […] napisania tego artykułu zainspirował nas nieoceniony Niebezpiecznik, artykułem, w którym tłumaczą, dlaczego Gmail to najbezpieczniejszy wybór dla przeciętnego […]

  90. Z tym czytaniem maili to nie tylko kwestia reklam, ale też np. własności intelektualnej, szczególnie że Google kilka razy zostało przyłapane na patentowaniu nieswoich – oprócz naszego kodowania ANS, ostatnio było głośno o doktorantce z MIT którą Google zaprosiło na rozmowę kwalifikacyjną po czym próbowało opatentować jej pracę: https://www.theregister.co.uk/2018/11/30/google_stole_my_patent/

  91. Ponieważ zostałem wywołany do tablicy proszę, aby nie wybierać sobie z komentarza tego, co jest wygodne, bo dodałem że dla Kowalskiego będzie lepszy choćby ProtonMail. I tak jest, aczkolwiek trzeba wtedy zapłacić za funkcjonalność na poziomie Google, z tym że lepiej jest płacić pieniędzmi niż ‘nie-wiadomo-czym’.

  92. A niebezpieczny haker dysan112 który włamuje się dzieciom i starszym ludziom na Windows 10 tam też się włamie? Dlaczego służby nie pilnują jego sieci, używa tora i innych vpnów.

  93. Najlepsze rozwiązanie to własny serwer poczty a nie gmail, ale rozumiem brak kasy dotknął niebezpiecznik więc co tam prywatność, liczy się kasa…

  94. […] GMail najbezpieczniejszy, GMail ulubiony. Dlaczego warto wybrać GMaila, szczególnie, jeśli nie masz zespołu administratorów dbających o bezpieczeństwo. […]

  95. Jest jedna kwestia która nie została poruszona w artykule, mianowićie google wyśmienicie chroni przed TYLKO NIEAUTORYZOWANYM dostępem. Ale co w sytuacji gdy taką autoryzację przedstawi sam Google (np. dając swojemu mechanizmowi profilowania więcej możliwośći lub swojemu pracownikowi wgląd na potrzeby pomocy technicznej).
    Ponad to, google pokaże Ci jakie informacje zbiera na Twój temat, ale tylko te na które może sobie pozwolić. Istnieje niezerowe ryzyko, że WSZYSTKO co trafia na gmail było/jest/będzie wykorzystane w ten czy inny sposób (nie, nie chodzi o profilowane reklamy).

  96. GMail nie przyjmuje załączników z hasłem, można zapomnieć o bezpiecznym przekazaniu np. skanów dokumentów.

    • Zawsze możesz zaszyfrować całego maila S/MIME i wtedy tylko odbiorca będzie mógł cośkolwiek odczytać :)

  97. Czy artykuł uległ zmianie? Wcześniej nie było zdania odnośnie ProtonMaila, a teraz jest.
    Niemniej jednak, ani GMail, ani FastMail nie zapewnia szyfrowania skrzynki i braku dostępności przez providera, więc mówienie o podobnym poziomie bezpieczeństwa (a także dużo większą prywatność) jest delikatnie mówiąc naciągane…
    Odwoływanie się też do dokumentu, w którym autor stwierdza, że ProtonMail nie posiada end-to-end encryption, po czym nie popiera tego żadnym argumentem. Zresztą, dyskusja na ten temat już się odbyła:
    https://www.reddit.com/r/ProtonMail/comments/9yqxkh/an_analysis_of_the_protonmail_cryptographic/

    • Po pierwsze: autor komentarza nie przeczytał artykułu ze zrozumieniem, vide – analiza ryzyka.
      Po drugie: pod kątem “niezaufanej przeglądarki” gmail jest z grubsza tak samo bezpieczny jak proton. Owszem, proton udostępnia desktopową aplikację bridge, dzięki której można wyeliminować w/w słabe ogniwo, jednak tylko dla użytkowników płacących.
      Głównym problemem jest tutaj poziom bezpieczeństwa reklamowany przez protona, który dla niepłacących użytkowników (czyli tak jak w gmailu), jest dużo bliższy iluzji niż faktycznym zabezpieczeniom.
      Mimo wszystko przy wyborze dostawcy usługi e-mail każdy, bez wyjątku, powinien zadać sobie pytanie “co i przed kim chcę ochronić?”. A jeśli ktoś dokładnie przeczytał artykuł, to zauważył tę kwestię poruszoną na samym początku.

  98. Co to za maniera pisania na czarnym tle? Osoby starsze, do których się zaliczam mają problemy ze wzrokiem i Wasze teksty się beznadziejnie mnie osobiście czyta. Co gorsze gorzej zasysam czytaną treść, bo ten czarny kolor mnie rozprasza. Czyżby dla bezpieczeństwa stronki?

  99. Prawda, dobra skrzynka do prywatnych zastosowań. Po kilku dniach konfiguracji i wyłączeniu wszystkich możliwych do wyłączenia przez usera logów.
    Mimo wszystko wolę prywatne skrzynki od dostawców, których jeszcze nie wpisali w wiki do programu prism.

  100. Program bug bounty w cale nie jest argumentem. Jak ktos zna luke w bezpieczenstwie to zarobi na niej znacznie więcej niz ten program wyplaci

    • Brak programu nie powoduje takiego zainteresowania i nie przekłada sie na wiecej wywkrytych/zgłoszonych błędów. Fajną prezentację o tym robił Krzysiek Kotowicz z Google

  101. Kiedyś też miałem skrzynkę firmową na serwerze (nazwa.pl) i mimo ich dość dobrego systemu antyspamowego otrzymywałem codziennie kilkanaście wiadomości będących SPAMem tak brutalnym jak reklamy środków przeciw grzybicy stóp w radiu z samego rana. Teraz używam GMAILa i spokojnie mogę opublikować swój adres e-mail na stronie WWW. Wiem, że jak ktoś będzie wysyłał spam na ten e-mail to IP będzie widoczny dla Googla i stosownie sklasyfikowany :D

  102. Alez jedzecie z tym marketingiem U2F… taki ten U2F piekny, tylko jak jest user antentykowany jesli U2F ulegl uszkodzeniu?

    • Kodem awaryjnym generowanym przy setupie lub drugim kluczem u2f. Czyżbyś nigdy nie używał, a krytykujesz?

  103. Do wszystkich nie-Kowalskich, co to są superspecjalistami, sami sobie serwer postawią i nikt im nie będzie w majty zaglądał:

    A. Punkt 1. Piotra do rozwagi. Kiedy wyjdzie na jaw jakiś totalny fuckup w oprogramowaniu Twojego serwera pocztowego, to w krótkim czasie ktoś sprytny przejmie Ci pocztę. Nie musi skanować 0.0.0.0/0, wystarczy jedno zapytanie do shodana albo coś w tym stylu. Może nie dostanie roota na maszynie, jeśli dobrze zabezpieczyłeś, ale skrzynkę przejmie i będzie mógł przejrzeć to, co trzymasz online, oraz wysyłać i odbierać maile w Twoim imieniu. Nawet jeśli śledzisz repozytoria podatności codziennie, to kiedyś spać musisz. Dodatkowo Google często-gęsto wie o podatnościach zanim zostaną ogłoszone. Trzeba mieć świadomość tego ryzyka, trzymać backupy offline, stare maile tylko offline albo w ogóle bezpiecznie usunąć, nie wrzucać na maila niczego poważnego i – w miarę możliwości – nie używać maila do autoryzacji czegokolwiek ważnego (coraz trudniej o to, niestety…) W razie (mało prawdopodobnego) włamu co najwyżej jakieś popierdółki dostaną i trochę krwi napsują, ale nic poważnego.

    B. I tak 90% albo i więcej Twoich korespondentów ma gugla czy inną interię. Więc tylko 10% bielizny masz prywatnej. Chyba że jesteś noobem co to tylko z kumplami z #133th4x0r koresponduje. Dla tych paru ważnych – i zaufanych! że nie spieprzą sprawy! – osób to sobie signala używaj, albo protona, albo w razie czego nawet załóż im konta jakiegokolwiek serwisu (choćby ssh i lokalny mail/talk) na Raspberry zamurowanym w piwnicy.

    C. Niedługo prywatne serwery SMTP się mogą skończyć. Po prostu nikt poważny nie będzie odbierał maili od takich indywidualistów i co im zrobisz? Connection reset by peer i dyskutuj tu z takim. Już wiele razy musiałem zmieniać adres IP/dostawcę hostingu bo ktoś coś zblacklistował. Na konsumenckim łączu powoli można zapomnieć, nawet jeśli provider nie blockuje outgoing SMTP lub można tę blokadę wyłączyć, to większość netblocków poblacklistowane, trzeba robić relay’a przez jakiś hosting albo VPN.

    Nadal trzymam własny serwer, bo lubię sobie podłubać, ale zdaję sobie sprawę, że prywatności mi to zapewnia bardzo niewiele, a bezpieczeństwo tylko takie, na jakie mnie stać jako pojedynczego ludka, który zawsze będzie mniej wiedział niż haxorzy, bo do cholery TRZEBA MIEĆ CZAS NA ŻYCIE!

    • Dokładnie, prywatne serwery pocztowe już teraz praktycznie nie istnieją, to nie są lata dziewięćdziesiąte, że otwierasz telnet na 25 do pierwszego z brzegu serwera mailowego i piszesz maila od billgates@microsoft.com z zabawnym żarcikiem do kolegi. Pomijając już blokadę gołego SMTP na łączach konsumenckich (bo taki ruch to w 99% jakiś botnet), to nawet na komercyjnym łączu pilnowanie tego, żeby Twoja poczta w ogóle przechodziła przez jakiekolwiek filtry to zadanie na cały etat – większość adminów outsource’uje pocztę właśnie z tego powodu, bo jak nie jesteś jakimś ISP i to nie jest Twoja własnoręcznie wykupiona adresacja to nikt nawet nie odpisze na Twoją prośbę o zdjęcie IP z blacklisty.

  104. Do wszystkich fanów wieloskładnikowego uwierzytelniania, kluczy sprzętowych i kombinacji innych niż login/dobre hasło – cytat z artykułu z konkurencyjnego portalu:

    „Co więcej, miał on włączone dwuskładnikowe uwierzytelnienie – ale ktoś poprosił ładnie Twittera o jego wyłączenie i zostało wyłączone. Ach, ta amerykańska jakość obsługi klienta…”.

    Sarkazm 1: Jeżeli to wy jesteście celem to to nie pomoże :)

    Sarkazm 2: Nie narzekajcie na obsługę klienta w korporacjach – jak chcą to są pomocni :)

    • Właśnie dlatego w Gmailu jest Advanced Security, jeśli się na nie zapiszesz, nie nas supportu. Zapomnisz hasła – nie odzyskasz konta. Coś za coś.

  105. Powiązane:

    https://en.wikipedia.org/wiki/PRISM_(surveillance_program)

    https://en.wikipedia.org/wiki/MUSCULAR_(surveillance_program)

    https://en.wikipedia.org/wiki/Utah_Data_Center

    https://www.engadget.com/2015/04/06/john-oliver-snowden-interview/

    Zastanawia mnie ta dychotomia myślenia ludzi. Z jednej strony informacje, że w złym PRL-u ten był agentem, a tamten donosił, robią nagłówki, Z drugiej, wiadomo przecież, przekazując informacje Google, do czyich teczek przekazujesz je także. I nie tylko na siebie, bo najpewniej dokonujesz tych wyborów za innych.

    W PRL-u ludzie donosili, bo “takie były czasy”, “nie żyłeś wtedy, nie rozumiesz”, “nikomu nie szkodzili”. A wy jaką macie wymówkę?

  106. Tutanota ma dwuskładnikowe uwierzytelnianie.

    https://tutanota.com/howto#2fa

    Poza tym, rozsądni dostawcy są tu:

    https://www.privacytools.io/#email

    Odnośnie Google po rozwiązania warto jeszcze zajrzeć tu:

    https://old.reddit.com/r/degoogle/
    https://old.reddit.com/r/privacy

  107. A czy dla zwykłego człowieka takie 2FA nie jest wystarczające? https://www.yubico.com/works-with-yubikey/catalog/protonmail/

    Musi być Open?

  108. […] Dlaczego GMail jest najbezpieczniejszy i bezkonkurencyjny? Polecamy lekturę Niebezpiecznik.pl i artykuł Piotra Koniecznego: LINK […]

  109. A co Niebezpiecznik myśli o U2F formie aplikacji na telefon ?
    Np. https://play.google.com/store/apps/details?id=co.krypt.kryptonite

  110. Czy U2F zabezpiecza (bo wydaje mi się, że nie) przed atakiem, że ktoś przejmuje nam zdalnie router i podstawia stronę banku ?

  111. Jak można pisać o bezpieczeństwie usługi, która za pośerdnictwem BIG DATA podsłuchuje cię w każdym momencie robiąc twój profil psychologiczny, materialny i jakikolwiek jeszcze sobie wymyślisz?
    Jak można pisać o bezpieczeństwie czegoś, co jest udostępniane reklamodawcom, a być może czego częścią są analizowane treści twoich wiadomości?

    Nie rozumiem jak można ufać Google.

    Na pewno na privacytools.io można znaleźć bezpieczne usługi,a nie narzędzia w rękach światowych globalistów. Tak, wiem, teorie spiskowe to głupota, ale chyba tylko głupiec mając tyle danych miliardów ludzi na świecie – jak gógiel – nie zrobiłby z tego pieniężnego użytku.

    Poza tym najważniejsze – każdą przeczytaną wiadomość kasuje się bezpowrotnie z serwera, wiem, że każda pewnie jest gdzieś archiwizowana, ale przynajmniej tak, żeby jak ktoś wejdzie na skrzynkę to żeby tych wiadomości tam nie było.

    • Tu o inne bezpieczeństwo chodzi. O dostęp nieporządanych osób trzecich, a nie inwigilację przez samego operatora poczty, reklamodawców, czy amerykańskie służby. Polecają Gmaila ze względu na jakieś magiczne zabezpieczenia przy logowaniu. Dla mnie też kiepskie rozwiązanie, jeżeli odbywa się kosztem praktycznie całkowitego wyzucia z prywatności.

  112. “Potrzebuje dobrze znać swoich użytkowników, bo dzięki temu może opracowywać lepsze metody ich profilowania, dzięki czemu może lepiej trafiać reklamami w ich gusta. A im więcej dopasowanych reklam, tym większy zarobek dla Google i szczęśliwsi reklamodawcy i większe budżety reklamowe czyli znów większy zarobek Google.”

    No właśnie okazuje się, że nie do końca ;)

    https://adage.com/article/digital/p-g-decided-facebook-ad-targeting-worth-money/305390/

  113. Bezpieczeństwo za wolność i prywatność? Nigdy w życiu. Nie zapakuję się świadomie do “bezpiecznej” klatki.

    • Wiesz co? Ostatnio miałem okazję przypominając sobie MCU wrócić do “Kapitana Ameryki: Zimowego Żołnierza” – i stwierdzić muszę, że to takie naprawdę bardzo adekwatne porównanie tutaj. Serio.

    • Podsumowałeś jednym zdaniem cały ten tekst, dokładnie i celnie.

  114. Uznam to za nieoznaczony tekst sponsorowany Yubico. Sorry bardzo, ale jeśli praktycznie jedynym wyznacznikiem bezpieczeństwa ma być możliwość zastosowania U2F a nie np. 2FA to bezsens. Opisywanie jakichś kosmicznych opcji ostrzegania o załącznikach, o niedziałającym antywirusie itd… nawet nie pokusiliście o przytoczenie jak to to wygląda u konkurencji.

  115. tokeny U2F

    Jak podłączyć tokeny U2F w smartfonie ?

    • Albo w Edge :)

    • przez NFC.

  116. Przez to bezpieczeństwo google już kilka razy zostałem z ręką w nocniku, np. właśnie teraz – po instalacji innego systemu na telefonie (LineageOS). Konfigurując system chcę ściągnąć ustawienia zapisane na koncie google, lecz ono nie rozpoznaje mojego urządzenia! Muszę je zweryfikować, przepisując kod zabezpieczający z ustawień. Tylko jak, skoro jeszcze nie wszedłem na dobre do systemu!

  117. “Dlaczego Gmail jest najbezpieczniejszy i bezkonkurencyjny?” – Troszkę naciągana teza, gdyż już to widzę, jak jakiś normalny użytkownik korzysta z 2FA na U2F. A użytkownikowi zaawansowanemu wystarczy z pewnością zwykłe 2FA na aplikacji, gdyż nie będzie podatny na phishing czy to klikając bezmyślnie w załączniki oraz linki w mailach czy to instalując bezmyślnie aplikacje na komórkę i komputer.

    Z resztą, co z tego, jak w sferze prywatności Gmail jest najgorszy.

  118. Czy w przypadku Google Suite administrator ma dostęp do skrzynek wszystkich użytkowników? Tzn. czy moze czytać maile, pobierać załączniki, itp.?

    If your company has a G Suite account, then the email administrator can see a dashboard with details such as the total number of emails sent and received, and the last time you accessed the account via a web browser or email programme. It also shows the number of files created, edited and shared in Google Drive. https://www.theguardian.com/technology/askjack/2018/jun/28/can-my-employer-read-emails-in-my-gmail-account

  119. @ Piotr Konieczny – Chyba przy U2F, bo przy zwykłym prostym 2FA są bardziej bezpieczne serwisy webmail.

    • Nie nie są. Jest zupełnie na odwrót.

  120. Ze względu na niewyobrażalny monopol i współpracę ze służbami łże-googla trzeba tępić – AMEN.

  121. Odpowiedź na artykuł o ‘lukach’ ProtonMaila https://eprint.iacr.org/2018/1121 zamieszczona na blogu ProtonMaila: https://protonmail.com/blog/cryptographic-architecture-response/.

  122. Tutaj należy rozgraniczyć dwie rzeczy pomiędzy bezpiecznie a prywatnie.
    w pewnym zakresie opisanym w artykule Gmail jest bezpieczny ale z prywatnością jest dużo gorzej.
    Dlatego zgadzam się z analizą ryzyka. Dla wielu zastosowań będzie on szybki, bezpieczny i al większości darmowy (dla tych którzy nie liczą swojego wkładu jaki gmail_owi przekazują).
    Natmiast w kwestii prywatności nalezy polegać na innych dostawcach np: Dusroot.org lub Tutanota. Myślże że szyfrowania w użyciem PGP daje dużo większą prywatność treści niż zwykły tekst wysyłany przez gmail )

  123. Ja się cieszę że Google sprawdza mojego emaila. Kilka razy wbił mi w kalendarz powiadomienia o których bym zapomniał. Nawet ostatnio. Po zakupie lotu z innego miasta (planowany zakup od jakiegoś czasu) chciałem zorganizować sobie do niego dojazd. Okazało się że kilka miesięcy wcześniej kupiłem ten dojazd z myślą o tym locie. Zapomnialem o tym. Google mi przypomniałem. W tym wypadku nie straciłem co najmniej 50pln.
    Co razie częściej można się logowac/rejestrować za pomocą Gmaila. Super to ułatwia sprawę. Dodatkowo gdy kupię hotel, lot, busa bilet do kina to dostanę powiadomienie w kalendarzu i programie który wyszukuje Gmaila pod hasłami rezerwację. Rezerwuj dużo. B. Dużo.
    Nie będę czytał komentarzy bo nie mam na to czasu. Chciałem się ➗ jedynie swoimi spostrzeżeniami.

  124. Ciekawe jest to, że Gmail przechowuje informację o naszych starych hasłach. Jest to, moim zdaniem, wielkim naruszeniem norm bezpieczeństwa!

    “Twoje hasło zostało zmienione 3 miesiące temu” – tekst przy logowaniu do poczty po wpisaniu starego hasła.

    W razie wycieku danych, niepowołane osoby zdobędą nie tylko aktualne hasło, ale również całą historię wcześniejszych haseł! Nikt mi nie wciśnie kitu, że potrzebne jest trzymanie starych haseł w bazie danych. Nie wolno zakładać, że skoro to jest gigant internetowy, to nigdy nie będzie miał wycieku, czy pomyłki.

    Dodatkowo daje to fajną możliwość phishingu, dzięki któremu możemy pozyskać więcej niż jedno hasło. Mało techniczna osoba widząc ten komunikat najprawdopodobniej wpisze inne warianty swojego hasła.

  125. Dzień dobry. Czy są jakieś informacje o zaletach bądź wadach krypt.co?

  126. “GMail jest najbezpieczniejszy” – HAHAHA, przecież te lamusy trzymają hasła w plaintext https://www.wired.com/story/google-stored-gsuite-passwords-plaintext/ , a dodatkowo jak napisał Janusz – trzymają wszystkie twoje stare hasła… i to ma być najbezpieczniejsza poczta, wolne żarty

    • Chyba nie zrozumiałeś, co komentujesz. Problem nie z GMailem dla osób prywatnych, a usługą Google Suite dla firm, dotyczy haseł “zresetowanych”, które pracownik zaraz zmienia na nowe. Chyba, że nie zmieni (czytaj ze skrzynki i tak nie korzysta). Skala i zagrożenie wynikające z tej pomyłki jest mocno ograniczone, co widać bo braku zaraportowanych jakichkolwiek incydentów z tego wynikających.

  127. “nawet jeśli przestaniesz korzystać z GMaila, to GMail nie przestanie korzystać z Ciebie”

    Niezbyt podoba mi się ten cytat.
    W sensie jak to zostało sformułowane.

    Dalej wyjaśniłeś, że chodziło jedynie o to, że 40% internautów i tak ma Gmaila i prędzej czy później będziemy z nimi korespondować.
    Tylko tyle.
    Cytat natomiast ma wydźwięk wszechpanującej beznadzieji i bezradności w obszarze cyberprywatności.
    Nie twierdzę, że tak nie jest. Baa, sam widzę że to jest jakaś chora dystopia.
    Ale artykuł jest wyłącznie o GMailu – czyt: jakby zmienić w cytacie “GMail” na “Google”, to z takim cytatem już bardziej się zgodzę.
    No chyba, że miałeś właśnie to na myśli, mimo że artykuł jest o samej poczcie.

    Owszem, jest trudno choćby o 80-procentową prywatność. Niemniej niektóre aspekty cyfrowego życia da się bardzo łatwo chronić – np. używać Signala, Duckduckgo (tak, jak chcę coś porządnie znaleźć, to uciekam się do Googla, ale do większości codziennego wyszukiwania Duck jest wystarczający.)

    Warto uważać na przyszłość; bo właśnie takie wycinki od Was zacytują później bez przytaczania kontekstu Onety, Pudelki, itp.;
    właśnie takie przekazy wbije sobie do głowy przeciętny Janusz;
    więc stwierdzi, że dalej może być ignorantem, no bo skoro nie da się nic zrobić, to po co nawet próbować:
    “Nieee kuzynku. Tego Signala to nie zainstaluje. Po co? I tak wszystko wiedzo.”
    Też, nawet jeśli samemu nie chcemy utrudniać sobie życia i rezygnować z niektórych technologicznych udogodnień na rzecz mniej przyjemnych w użytkowaniu,
    to nie należy postrzegać osób, które to robią jako paranoików i solidnych dziwaków, a niestety często ma to miejsce:
    “Po co tak robisz? Przecież i tak wszystko wiedzą. Ehh, ty to jednak porypany jesteś.”

    A przecież prywatna komunikacja z tymi pozostałymi 60% nieużywającymi Gmaila nie jest z góry skazana na przegraną.

    Zakończę przytoczeniem pozytywnych akcentów (aczkolwiek to powyżej nie było negatywne – to konstruktywna uwaga!):

    · “[…] Rozumiem taki wybór, szanuję go i pochwalam daleko posuniętą ostrożność stawianą wyżej niż wygodę.”
    · “[…] szacunek za postawę i wytrwałość!”

    Piona,
    Oddany czytelnik

  128. GMail najbezpieczniejszy – toż to chyba jakiś nieśmieszy żart albo reklama. Przecież pracownicy Google mogą czytać twoja pocztę, ostatnia afera z tym związana – https://www.techdirt.com/articles/20100915/09333711025.shtml
    jak i masa wcześniejszych tego typu afer. Gdzie tu bezpieczeństwo?! Bo o prywatności to od początku mowy nie ma.

    • Ostatnia? Piękna manipulacja. Przywołujesz incydent sprzed 9 lat, który wyszedł na jaw właśnie ze względu na dobre mechanizmy wewnętrznego bezpieczeństwa. Na marginesie: każdy dostawca poczty ma zatrudnionego jakiegoś DBA, który ma taki sam dostęp jak ten pracownik Google. Ale nie każdy dostawca poczty go tak ściśle monitoruje. To trochę jak z tym paradoksem wojskowych pilotów, którym chciano wzmacniać samoloty na skrzydłach, bo jak wracali do baz, to tam najwięcej było dziur po kulach… ;)

  129. A co jest takiego niebezpiecznego w Protonmailu, czego nie ma w Gmailu? Bo jeżeli chodzi o podawanie w różnych usługach prywatnego numeru telefonu, czyli tzw. uwierzytelnianie dwuskładnikowe, to nigdy tego nie robię.

  130. Można obecnie założyć tylko pocztę Gmail? czy to już wszystko jest połączone i zakłada się równocześnie youtube itd. ?

  131. Artykul ok. Pokazuje jedno. Dla masowego usera gmail faktycznie jest najlepszy.
    Wiekszosc komentarzy negatywnych wynika z nie porozumien i z nie zrozumienia intencji autora artykulu.
    Jezeli jestes zwyklym polakiem..nie poslem.nie super prezesem, czy wynalazca, wielkim biznesmenem…faktycznie 2fa i u2f + gmail bedzie dla ciebie najlepszy. Musisz sie tylko pogodzic z tym ze google bedzie personalizowac ciebie i wysylac ci reklamy na stronach.

    Nie mowie o tematach typu ze google i gmail to monopolista jak skynet..i ze uzywanie gmaial wzmacnia korporacje zla:) to temat osobny, b.filozoficzny.

    Natomist jezeli chcez ukryc za wszelka cene to co piszesz ma dwie opcje. Pisz w gmailu uzywajac kodu ale tak aby wygladal on jak rozmowa czyli steganografia. Mechanizmy googla sa za glupie aby wykryc twoja madra gre z kolezanka;)

    Przeylaj sobie male zalaczniki np doc a w gruncie rzeczy kontenery.

    Szyfruj pgp a potem to gdzies wrzuc i wyslij.

    Albo..olej gmaial i uzywaj poczt typu fastmail czy proton.

  132. Wycinek z regulaminu google:

    Przesyłając, wgrywając, dostarczając, zapisując, przechowując, wysyłając lub odbierając materiały do lub za pośrednictwem Usług, użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie opracowań (dzieł pochodnych, na przykład przez wykonanie tłumaczenia, adaptacji lub innych zmian w celu zapewnienia lepszego działania z Usługami)

    Jeżeli podejmujesz ryzyko, że przesyłane drogą mailową lub przechowywane w chmurze dane mogą być dowolnie wykorzystywane przez korporację google to używaj google. W zasadzie ten zapis pozwala pozyskiwać np. obce know-how bo przecież się zgadzamy na to akceptując regulamin.
    Owszem bezpieczeństwo struktury google jest najlepsze ale wysyłając coś na chmurę czy mailem warto to szyfrować. Tylko takie konsekwentne działanie pozwala wykluczyć utratę naprawdę ważnych danych.

  133. A co zrobić w sytuacji w której się znalazłam. Dzisiaj od rana na skrzynkę wracają mi wszystkie usunięte w ciągu ostatnich kilku lat maile, tysiące maili. Nie wiem co robić! Czy kiedykolwiek spotkałeś się z takim problemem? Jak temu zaradzić? Czy to wina ze strony gmaila?

  134. @Niebezpiecznik
    > GMail ma Advanced Protection. Jeśli go włączysz to będziesz chroniony (…)

    Jedna lipa: po włączeniu przestaje działać POP3 oraz IMAP. Wiem, wiem… kto dziś tego używa, są specjalne aplikacje, a webmail jest super. Ale jednak panie Halinki używają, więc nie każdy w każdej firmie by mógł.

Odpowiadasz na komentarz JerrY

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: