image

Mozilla test eigen Firefox-extensie die e-mailaliassen genereert

donderdag 30 april 2020, 16:28 door Redactie, 8 reacties

Mozilla is een besloten test gestart van een eigen Firefox-extensie waarmee gebruikers eenvoudig e-mailaliassen kunnen aanmaken om zich voor websites en andere zaken te registreren. Mozilla stuurt de registratiemail en andere berichten vervolgens door naar het echte e-mailadres van de gebruiker.

Vervolgens kan die indien gewenst de alias uitschakelen of verwijderen. "We hebben allemaal veel online accounts, maar de meeste zijn aan één of twee van onze e-mailadressen gekoppeld. Dit houdt in dat wanneer slechts één account wordt gehackt of getrackt, elk ander account en bijbehorende data ook risico loopt. Al onze accounts zijn te herleiden naar het e-mailadres dat we gebruiken", aldus Mozilla.

De Firefox Private Relay-extensie voegt een gebruikersinterface toe die "unieke, willekeurige, anonieme e-mailadressen genereert". Berichten voor deze adressen worden vervolgens naar het echte e-mailadres van de gebruiker doorgestuurd. Volgens Mozilla is dit handig bij het registreren voor apps, websites of nieuwsbrieven. Wanneer gebruikers willen kunnen ze eenvoudig de e-mailalias verwijderen. "En wanneer de dienst een incident heeft, is hun data niet naar jou te herleiden", voegt Mozilla toe.

De browserontwikkelaar laat weten dat het vooralsnog om een experimentele, zeer vroege testversie van de Firefox-extensie gaat die alleen op uitnodiging is te gebruiken. Op de website relay.firefox.com kunnen geïnteresseerden zich straks voor een wachtlijst inschrijven. De broncode van Firefox Private Relay is via GitHub te bekijken.

Reacties (8)
30-04-2020, 16:38 door Anoniem
Ik gok dat het wachten is tot deze domeinen geblokkeerd worden, al dan niet vanwege misbruik.
30-04-2020, 16:51 door Anoniem
Het zal ongetwijfeld goed bedoeld zijn, maar dit is natuurlijk een behoorlijk verkapte manier voor een Amerikaanse organisatie om al je mails mee te kunnen lezen. Teven het hacken van je mailaccount kan je goed beschermen met TOTP/WebAuthn inlogmiddelen. Tegen het tracken lijkt een campagne om af te stappen van e-mailadressen als identificatiemiddel mij de beste oplossing.

Net als het standaard inschakelen van DNS-over-Cloud lijkt het mij beter als ze zich zorgen maken om goede structurele veranderingen, dan dit soort plakpleisters. Tot mijn spijt, want ik gebruik al sinds jaar en dag met groot genoegen van Firefox.
30-04-2020, 17:37 door Erik van Straten - Bijgewerkt: 30-04-2020, 17:38
De redenen dat websites vaak e-mailadressen als logon-ID gebruiken zijn vermoedelijk:
1) Een e-mail adres is gegarandeerd uniek;
2) Mensen hebben al veel moeite met het onthouden van een wachtwoord, hun e-mailadres als logon-ID onthouden ze wel;
3) Bij "wachtwoord vergeten" (password reset) hoeft alleen dat e-mail adres te worden ingevoerd (wat doe je bij logon-ID vergeten?).

Een m.i. onderschat beveiligingsrisico is dat toegang hebben tot een e-mail account (d.w.z. waar e-mail naartoe gestuurd wordt bij een password reset) tot identiteitsfraude kan leiden. Elke e-mail alias die in andere handen valt, betekent een risico.

Anderzijds is het een risico dat e-mail adressen in verkeerde handen vallen doordat ze als logon-ID worden gebruikt, zie https://www.bleepingcomputer.com/news/security/numerous-sites-leak-user-emails-to-advertising-analytics-services/ (gisteren gepubliceerd).

Mensen zouden alleen al een administratie (bijv. in een wachtwoordmanager) moeten bijhouden om te weten waar ze allemaal accounts hebben, naast met welk logon-ID en wachtwoord. Indien iedereen dat doet, kunnen websites ook stoppen met het onverstandige gebruik van e-mailadressen als logon-ID's. Lastig daarbij is wel dat als iemand zo'n administratie kwijtraakt (of het wachtwoord van de wachtwoordmanager vergeet), het erg ingewikkeld kan worden om weer toegang tot accounts te krijgen.

Gevoelsmatig introduceert Mozilla hier alleen maar nieuwe risico's mee: wat als zij over de kop gaan? Hun relayservers zullen een magneet voor criminelen worden i.v.m. password resets. Hoe voorkom je dat zo'n relay een spam relay wordt? Hoe is met name SPF geregeld?

Een echt goede oplossing ken ik niet, maar ik ga hier in elk geval geen gebruik van maken.
30-04-2020, 20:52 door [Account Verwijderd]
Ik weet eerlijk gezegd niet of dit wel het juiste antwoord is voor het probleem. Wat wel misschien het antwoord (volgens mij) zou kunnen zijn: IRMA (als je verder denkt).
30-04-2020, 21:11 door Anoniem
Dat kan al jaren met https://jetable.org. Fijne site, maak er regelmatig gebruik van.
30-04-2020, 22:44 door Anoniem
Door Anoniem: Dat kan al jaren met https://jetable.org. Fijne site, maak er regelmatig gebruik van.

Doe ik ook, meestal voor eenmalige dingen die toch verwachten dat je een account aanmaakt.
01-05-2020, 15:25 door Anoniem
Door Anoniem: Het zal ongetwijfeld goed bedoeld zijn, maar dit is natuurlijk een behoorlijk verkapte manier voor een Amerikaanse organisatie om al je mails mee te kunnen lezen. Teven het hacken van je mailaccount kan je goed beschermen met TOTP/WebAuthn inlogmiddelen. Tegen het tracken lijkt een campagne om af te stappen van e-mailadressen als identificatiemiddel mij de beste oplossing.

Net als het standaard inschakelen van DNS-over-Cloud lijkt het mij beter als ze zich zorgen maken om goede structurele veranderingen, dan dit soort plakpleisters. Tot mijn spijt, want ik gebruik al sinds jaar en dag met groot genoegen van Firefox.
Hier een wat primitievere, iets omslachtigere, maar simpele workaround:
Voor al mijn dumpmail en andere dubieuze/anonieme aanmeldingen open ik TOR, regel een tijdelijk 10-minuten mailadres, op het reguliere net netjes aanmelden met het 10-minuten-mailadres, terug op TOR even wachten op aanmeldcode en klaar!
Uiteindelijk heb je geen last van de evt. trackers/cookies van die 10 minutemailaccounts. (Want TOR browser. Tip: Draai in een sandbox) En hoef je de site waar je je wilt aanmelden ook niet over TOR te bereiken. Want die TOR nodes worden nogal eens als verdacht gezien en geblokkeerd.
06-05-2020, 09:51 door Anoniem
Door Anoniem:
Door Anoniem: Dat kan al jaren met https://jetable.org. Fijne site, maak er regelmatig gebruik van.

Doe ik ook, meestal voor eenmalige dingen die toch verwachten dat je een account aanmaakt.

Mooie is dat ik met mijn webservice dit soort gedoe blokkeer.
Het werkt met name in de hand dat er mensen registreren die niet van plan zijn zich aan de regels te houden en anoniem willen zijn of meerdere accounts willen aanmaken.

Ik zie eigenlijk alleen maar gedoe met die "10 minute mail" accounts.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.