/dev/null - Overig

Gmail wil mij aan de scripts :-)

12-10-2021, 10:43 door Anoniem, 17 reacties
Ergens in 2004 heb ik een Gmail account aangemaakt, want het leek mij wel handig om overal op elke computer in te kunnen loggen om daar mail te kunnen lezen en versturen.
Ik ga niet dieper in op de nadelen die in de loop van de jaren zijn bekend geworden. Die weet iedereen zo uitvoerig dat daar op ingaan totaal overbodig is omdat het niets nieuws toevoegt aan wat wij al weten: Je betaalt met je persoonlijke gegevens voor deze dienst. Daarom gebruik ik Gmail met geen enkel actief Google script geladen. Nu zullen er mensen zijn die zeggen: „Dat kan niet“ maar dat komt dan omdat het overgrote deel Gmail gebruikers hun account in later jaren hebben aangemaakt. Bij mij lukt eenvoudige HTML weergaven zonder google-scripts wel.

Maar nu komt het: Natuurlijk zijn die allereerste gebruikers van Gmail die niet met hun tijd zijn meegegaan, dus scripts blokkeren (NoScript) of hun mailbox benaderen met alleen HTML, Google een doorn in het oog. Alleen mijn mail kunnen zij inzien om gegevens van mij te gebruiken voor hun doeleinden. Dat stelt niet meer zoveel voor, want ik gebruik Gmail nog maar heel weinig (heb al langer een Protonmail account), maar Google is dus de laatste weken driftig bezig om mij te verleiden al hun scripts te gaan laden.

Dat begon met een pagina die ik kreeg voorgeschoteld na inlog met de volgende tekst:

'JavaScript moet zijn ingeschakeld als je Gmail in de standaardweergave wilt bekijken. Het lijkt er echter op dat JavaScript is uitgeschakeld of niet wordt ondersteund door je browser. Als je de standaardweergave wilt gebruiken, schakel je JavaScript in door je browseropties aan te passen en het opnieuw te proberen
Als je de eenvoudige HTML-weergave van Gmail wilt gebruiken, waarvoor geen JavaScript nodig is, klik je hier: klik hier
Als je Gmail wilt bekijken op een mobiele telefoon of gelijksoortig apparaat, klik hier'

Natuurlijk schakel ik die scripts niet in :-) maar koos tot nu voor de tweede optie.

Tot vanochtend werkte dat prima, maar nu hebben zij (Google) iets anders verzonnen om mij te pushen tot Google scripts laden:

Als ik de optie eenvoudige HTML-weergave aanklik kom ik nu op een 404 pagina:

'Je account is tijdelijk niet beschikbaar. Onze excuses voor het ongemak. Probeer het over een paar minuten opnieuw. Op het Google Workspace-statusdashboard kun je de huidige status van de service bekijken.

Als het probleem blijft optreden, ga je naar het Helpcentrum »

Try Again Sign Out

Uitgebreide technische gegevens weergeven

© 2021 Google - Homepage - Privacybeleid - Programmabeleid - Gebruiksvoorwaarden - Google-homepage'

Maar die 404 melding wordt schijnbaar aangemaakt om je te laten schrikken, want mijn Gmail kan ik gewoon openen door op Homepage te klikken, dat ik hierboven voor de duidelijkheid maar even heb onderstreept.

Tot zover deze anekdote.

Nog een fijne dag verder! :-)
Reacties (17)
12-10-2021, 12:36 door Anoniem
Door Anoniem:

[..]
Maar die 404 melding wordt schijnbaar aangemaakt om je te laten schrikken, want mijn Gmail kan ik gewoon openen door op Homepage te klikken, dat ik hierboven voor de duidelijkheid maar even heb onderstreept.

Tot zover deze anekdote.

Nog een fijne dag verder! :-)

Je hebt een wat raar beeld van de IT werkelijkheid.

Je denkt dat ze daar een dev/design meeting hebben en zitten te overleggen "nou, John, codeer jij een 404 hier als je een scriptloze gezien hebt want dan worden ze wel bang en zetten ze scripts aan" .
En dan maar turen in de logs of ze je al te pakken hebben, en een rondje voor het team als ze weer een scriptloze naar de scrips gepest hebben .

Zo werkt dat echt niet .

Ze kiezen alleen voor het stoppen met testen van scriptloos gebruik, en stoppen met requirements 'moet ook werken zonder scripts'.
Zo'n 404 is dan gewoon een gevolg wat ze niet kan schelen - dat het wel, of half, of niet werkt als je doorklikt .
Het is geen supported omgeving meer , en wat er dan half kapot of zichtbaar (404 ) niet meer helemaal werkt - Het Maakt Niet Uit - voor hen.

Gewoon _unsupported_ - precies dat , het kan nog steeds werken, het kan half werken, het kan kapot zijn : dat is wanneer een leverancier geen moeite meer doet voor een bepaalde situatie/model/client .

Ze zouden in principe de hele dienst kunnen blokkeren als een client een bepaalde check niet haalt, maar waarschijnlijk hebben ze daar meer last (of risico) van dan gewoon geen moeite doen om het nog perfect werkend te houden zonder scripts.
Google heeft het voordeel dat ze voor dit soort dingen geen directe klanten hebben die kosten maken door een helpdesk bezig te houden .

Gegarandeerd zullen daar (en overal) wel een hoop devs gejuiched hebben bij de boodschap "IE6 hoeft niet meer supported te worden" - gewoon omdat het supporten daarvan onzettend veel werk kostte. Waarschijnlijk ook een feetje zelfs bij Microsoft toen het licht uitgedaan mocht worden op IE6.
Als developer heb je gewoon meer werkplezier als je met technisch "goed gereedschap" kunt werken , en lieft ook iets wat op de een of andere manier belangrijk is - zoals een dienst waar veel klanten op zitten.
12-10-2021, 13:48 door Briolet
En wat is er mis met scripts? Om in te loggen gebruiken veel websites JS om je wachtwoord gehashed en gesalten naar de server te sturen. Dan is de inlog zelfs over een http verbinding redelijk beveiligd. Met alleen html code zijn dit soort beveiligingen veel lastiger in te bouwen. Zonder JS zul je dat waarschijnlijk in plain tekst moeten doen.

Op een bepaald moment zijn er zo weinig html-only gebruikers dat je geen tijd meer wilt stoppen in een slecht uitziende pagina weergave.
12-10-2021, 14:03 door Anoniem
Zoals andere al aangeven:
JavaScript is soms gewoon nodig
12-10-2021, 14:09 door Anoniem
Beste anoniem van 12:36 uur,

Je schrijft: Het is geen supported omgeving meer. Maar dat is niet zo. Eenvoudige html wordt nog steeds volledig en totaal zonder haken en ogen door Google's Gmail ondersteund.
Dus ik snap niet hoe jij zo kan stellen dat deze support deels of misschien wellicht geheel aan het uitvallen is
Hoe heb jij dat geconstateerd?
Bovendien, je kunt eenvoudig testen door eenmaal ingelogd - dan wel in uitgebreide weergave; dus met alle script tierelantijnen en franje :-) naar een Google support-pagina te gaan en daar te kiezen voor eenvoudige html, (1) en dan zien, mits je Gmail van heel vroeg kent - zoals ik - dat alles al vele jaren onveranderd en geheel functioneel is en niets in de layout is veranderd. Sterker: in mijn herinnering ziet het er daar precies zo uit als toen ik ruim 16 jaar geleden voor de eerste keer Gmail gebruikte, uitgezonderd de labelfunctie die later om en nabij 2007 werd toegevoegd.

Het wordt alleen steeds moeilijker automatisch in die eenvoudige html weergave terecht te komen na validatie van je inlog door Google, zoals dat voorheen zonder extra interventie lukte na eenmaal zo te hebben ingesteld al jaren geleden, ik dacht rond 2012. Tot voor enkele weken terug dus, zoals ik al schreef, lukte dat probleemloos zonder omslachtigheid die nu wel nodig is en dat valt mij op.

(1)
Het heeft geen zin die URL hier te posten want die kun je alleen oproepen als je ingelogd bent, maar dan zou je zelf precies kunnen constateren wat ik bedoel.
12-10-2021, 14:20 door Anoniem
Door Anoniem: Beste anoniem van 12:36 uur,

Je schrijft: Het is geen supported omgeving meer. Maar dat is niet zo. Eenvoudige html wordt nog steeds volledig en totaal zonder haken en ogen door Google's Gmail ondersteund.
Dus ik snap niet hoe jij zo kan stellen dat deze support deels of misschien wellicht geheel aan het uitvallen is
Hoe heb jij dat geconstateerd?

Wel duh, uit jouw verhaal dat er dingen niet meer werkten, en dat je speciaal bang gemaakt werd met 404 halverwege en zo slim was door te klikken want ze hebben jou nog steeds niet te pakken.

Ze zijn gestopt met moeite doen om alles 'glad en zonder zichtbare fouten' met scriptloos html te laten werken, blijkbaar .

Jij ziet er een bewuste sturing in, en ik zie alleen maar 'gestopt met (extra) moeite doen voor scriptloos html' .
12-10-2021, 15:22 door Erik van Straten - Bijgewerkt: 12-10-2021, 15:25
Door Briolet: Om in te loggen gebruiken veel websites JS om je wachtwoord gehashed en gesalten naar de server te sturen.
Die sites doen dat dan fout.

Door Briolet: Dan is de inlog zelfs over een http verbinding redelijk beveiligd.
Attack: pass the hash (een passieve afluisteraar kan daarmee opnieuw inloggen zonder jouw wachtwoord te kennen of te hoeven "kraken"). Maar sowieso kan een actieve MitM dan in de huidige sessie alles doen wat jij kan. En het session-cookie blijven gebruiken als jij denkt dat je bent uitgelogd. Bovendien kan een MitM de door de server verzonden Javascript hashfunctie eruitslopen en zo jouw plain-text wachtwoord in handen krijgen.

Ten slotte zou je iets als Argon2 of PBKDF2 moeten gebruiken, maar als je dat soort bewust "langzame" (resource intensive) algoritmes in Javascript implementeert (uitgevoerd door browsers) wordt dat extreem traag.

Je zou "vóór-hashen" in browsers kunnen overwegen, maar dat is niet zonder risico's (zie "Pre-Hashing Passwords" in https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html). En feitelijk schiet je er niks mee op, want een onverhoopte MitM (bijv. een phishing site met een lijkt-op domeinnaam), en wellicht een hacker van de echte server, kan die Javascript functie verplaatsen naar server-side en zo toch jouw plain-text wachtwoord in handen krijgen - zonder dat je er iets van hoeft te merken.
12-10-2021, 15:29 door EKTB
Ohnee wat vervelend.

Wat heeft dit te maken met security? Helemaal niks.
12-10-2021, 16:36 door Anoniem
Door EKTB: Ohnee wat vervelend.

Wat heeft dit te maken met security? Helemaal niks.

Naar mijn mening is er wel degelijk security verband en is mijn hoofdreden om net als TS zonder javascript gmail (en andere mail) te gebruiken. Gebruik ik webmail met javascript geactiveerd dan biedt dat via rotte mailcontent (meer) mogelijkheden.
Daarnaast is mailclient en mailcontent veel rustgevender zonder alle poespas javascript.
Mijn jaren geleden begonnen werkwijze en ervarene met gmail komen overeen met die van TS.
12-10-2021, 17:06 door Anoniem
Door Anoniem:

Ze kiezen alleen voor het stoppen met testen van scriptloos gebruik, en stoppen met requirements 'moet ook werken zonder scripts'.
Zo'n 404 is dan gewoon een gevolg wat ze niet kan schelen - dat het wel, of half, of niet werkt als je doorklikt .
Het is geen supported omgeving meer , en wat er dan half kapot of zichtbaar (404 ) niet meer helemaal werkt - Het Maakt Niet Uit - voor hen.

Gewoon _unsupported_ - precies dat , het kan nog steeds werken, het kan half werken, het kan kapot zijn : dat is wanneer een leverancier geen moeite meer doet voor een bepaalde situatie/model/client.

Ha Anoniem, je verhaal klinkt plausibel. Dat gezegd hebbende, Het lijkt er op (https://support.google.com/mail/answer/15049?hl=en) dat HTML View gewoon nog ondersteund wordt.
12-10-2021, 17:27 door Anoniem
"Bovendien, je kunt eenvoudig testen door eenmaal ingelogd "

Nou, submit een bugreport, fixen ze het. Ze zullen het niet lezen op dit forum in ieder geval en die dev die ergens een typo heeft gemaakt zal het waarschijnlijk nu niet weten, anders was het niet in productie gekomen.
12-10-2021, 17:49 door Briolet
Door Erik van Straten:
Door Briolet: Dan is de inlog zelfs over een http verbinding redelijk beveiligd.
Attack: pass the hash (een passieve afluisteraar kan daarmee opnieuw inloggen zonder jouw wachtwoord te kennen of te hoeven "kraken").…

Ik had niet voor niets het woord 'redelijk' in mijn bewering gezet. Het beschermt tegen de veel afluisteraars, niet tegen professionals.
Maar het ging mij vooral om het idee dat JS ook ingezet kan worden om een verbinding juist te beveiligen omdat je veel complexere opdrachten kunt schrijven dan in html alleen.
12-10-2021, 20:17 door Anoniem
Herkenbaar verhaal, lay-out van Gmail was zo waardeloos geworden dat je wel html moest gebruiken. Haal Gmail op via pop3 en sporadisch log ik in om de spam te checken, kan goed alweer jaar geleden zijn.
Nog wel, met de kennis van nu gaat Gmail de deur uit. Proton veel prettiger, betaal er zelfs voor. Dat doe ik niet snel.

Goed dat je scripts blokt, zou iedereen moeten doen. uMatrix kun je eenmalig instellen dat deze overal scripts (en meer) blokt. Dan per site eventueel (tijdelijk) toestaan. Gros werkt prima zonder.
12-10-2021, 23:02 door Anoniem
Mee eens javascript is een zwarte vlek op beveiliging.
Maar veel mail content van mails is even slecht of onveilig . zoals het virus in haatbook afbeelding
12-10-2021, 23:32 door Anoniem
Door Anoniem:
Door Anoniem:

Ze kiezen alleen voor het stoppen met testen van scriptloos gebruik, en stoppen met requirements 'moet ook werken zonder scripts'.
Zo'n 404 is dan gewoon een gevolg wat ze niet kan schelen - dat het wel, of half, of niet werkt als je doorklikt .
Het is geen supported omgeving meer , en wat er dan half kapot of zichtbaar (404 ) niet meer helemaal werkt - Het Maakt Niet Uit - voor hen.

Gewoon _unsupported_ - precies dat , het kan nog steeds werken, het kan half werken, het kan kapot zijn : dat is wanneer een leverancier geen moeite meer doet voor een bepaalde situatie/model/client.

Ha Anoniem, je verhaal klinkt plausibel. Dat gezegd hebbende, Het lijkt er op (https://support.google.com/mail/answer/15049?hl=en) dat HTML View gewoon nog ondersteund wordt.

Hier TS,

Precies. Dat zeg ik ook.
En het lijkt er niet op.
Het is gewoon zo.

Raar dat daarover zo'n twijfel heerst in dit topic van mij. Ik ben dan misschien wel een IT dumbo maar ook weer geen digibeet. ;-)

Hier het bewijs. Mijn geanonimiseerde Gmailbox:

https://i.postimg.cc/VNc4PxC0/Gmailbox.jpg


p.s. De omgekeerde kleurweergave wordt veroorzaakt door de Extensie: Dark Reader
15-10-2021, 10:48 door Anoniem
Ik vermoed dat Google best problemen wil oplossen met html-only; die versie wordt namelijk ook aangeboden, als je een extreem trage verbinding hebt.
17-10-2021, 23:33 door Anoniem
Door EKTB: Ohnee wat vervelend.

Wat heeft dit te maken met security? Helemaal niks.

Het is verwonderlijk dat de google deepstate het levensbeloop van de topicstarter nog niet gescript neeft naar een een perpetual "doen of doem" scenario van blinde obedience...

Disclaimer. Deze reactie is humor en niet gebaseerd op werkelijkheid.


Of niet ;)
18-10-2021, 17:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:

Ze kiezen alleen voor het stoppen met testen van scriptloos gebruik, en stoppen met requirements 'moet ook werken zonder scripts'.
Zo'n 404 is dan gewoon een gevolg wat ze niet kan schelen - dat het wel, of half, of niet werkt als je doorklikt .
Het is geen supported omgeving meer , en wat er dan half kapot of zichtbaar (404 ) niet meer helemaal werkt - Het Maakt Niet Uit - voor hen.

Gewoon _unsupported_ - precies dat , het kan nog steeds werken, het kan half werken, het kan kapot zijn : dat is wanneer een leverancier geen moeite meer doet voor een bepaalde situatie/model/client.

Ha Anoniem, je verhaal klinkt plausibel. Dat gezegd hebbende, Het lijkt er op (https://support.google.com/mail/answer/15049?hl=en) dat HTML View gewoon nog ondersteund wordt.

Hier TS,

Precies. Dat zeg ik ook.
En het lijkt er niet op.
Het is gewoon zo.

Raar dat daarover zo'n twijfel heerst in dit topic van mij. Ik ben dan misschien wel een IT dumbo maar ook weer geen digibeet. ;-)

Hier het bewijs. Mijn geanonimiseerde Gmailbox:

https://i.postimg.cc/VNc4PxC0/Gmailbox.jpg


p.s. De omgekeerde kleurweergave wordt veroorzaakt door de Extensie: Dark Reader

Very dark.... ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.