www.fabiankeil.de/blog-surrogat/2005/11/18/mein-lieber-hushmail-fan.html

Mein lieber Hushmail-Fan ...

der Du mir vor wenigen Minuten eine Mail mit dem aussagekräftigen Betreff Dickes Lob PW: o schicktest. Möglicherweise wirst Du Dich wundern, warum ich arroganter Kerl mich noch nicht dazu herabgelassen habe Dir zu antworten. Ich erkläre es gern, ich musste erstmal für etwas Aufklärung sorgen.

Als Deine Mail in meinem Postfach aufschlug, machte mein Herz einen kleinen Sprung der Freude. Meinem rein objektiven Empfinden nach, bekomme ich viel zu wenig Fanmail, auch Groupies sind eher rar.

Der erwartungsvolle Blick in den Körper Deiner Mail ließ mein zartes Herz jedoch aussetzen. Was mich ansprang war kein verdientes Lob, sondern der blanke Unsinn, den ich hier gerne anonymisiert wiedergebe:

Subject: Dickes Lob PW: o
Date: Thu, 17 Nov 2005 14:17:28 -0800 (PST)

$FanEmailAdresse has sent you a secure email using Hushmail. To read it,
please visit the following web page:

	https://www.hushmail.com/express/$ZeichenketteZurIdentifikation



Frequently Asked Questions:


Why did I receive this email?

You have received this email because $FanEmailAdresse uses Hushmail for
secure communication. To read your secure email, you must follow the
link provided and correctly answer a secret question created by the
sender.


What is a secure email?

Sending a regular email is like sending a postcard - it may be read
by any number of people before reaching its recipient(s). A secure
email is like sending a letter in a sealed envelope - it can only be
read by the sender and intended recipient(s).


Is it safe to follow the link in this email?

It is safe to visit the Hushmail web site by following the link
provided in this email; however you should never open an email
attachment unless you know the person who sent it to you, you were
expecting to receive the file from them, and you have scanned the
file for viruses.

When you arrive at the Hushmail web site, be sure to check the
following:

	The address bar of your web browser shows:
	https://www.hushmail.com/express

	A small picture of a padlock appears in the bottom right corner of
	your web browser

If you would prefer to access your message by entering its message
code, please visit the following web page:

	https://www.hushmail.com/express

You will be asked to enter the following message code: $ZeichenketteZurIdentifikation



What is Hushmail?

Hushmail is a web-based email service that lets you send and receive
email in total security using OpenPGP standard algorithms. These
algorithms, combined with Hushmail's unique key management system,
provide unrivalled levels of security. Hushmail's security is
end-to-end; when you send an email it is encrypted on your computer
and remains encrypted until it reaches its recipient(s). Hushmail's
encryption is automatic, transparent, and seamless - no special
computer skills are required.


How do I create a free Hushmail account?

You can create a free Hushmail account by clicking on the following
link: https://www.hushmail.com/?l=476

Bereits nach dem ersten Absatz wurde mir eines klar:

Hushmail.com ist der letzte Dreck

Obwohl die Schnarchnasen etwas von OpenPGP standard algorithms schwafeln, kam die Mail komplett unverschlüsselt und war nicht einmal elektronisch signiert.

Prinzipiell halte ich unverschlüsselte Mails nicht für tragisch, ein dickes Lob kann man meiner Meinung nach durchaus auch unverschlüsselt schicken.

Wer sein dickes Lob jedoch vor den ganzen nach Lob strebenden Geheimdiensten verstecken möchte, der sollte es schon richtig machen. Mein öffentlicher GPG-Schlüssel ist im Impressum verlinkt, wer möchte kann mir seine Mails verschlüsselt ins Postfach quetschen.

Dazu muss man auch keine externe Dienstleister bemühen, für jedes relevante Mailprogramm gibt es entsprechende Erweiterungen.

Der von Dir benutzte Dienst Hushmail bietet jedenfalls nur Pseudo-Sicherheit.

Die Idee scheint zu sein: Du schickst mir ein Passwort, ich melde mich damit bei Hushmail auf einer verschlüsselten Seite an und bekomme den eigentlichen Inhalt präsentiert. Die Pappnasen bei Hushmail haben jedoch eine Kleinigkeit übersehen: das Passwort wird unverschlüsselt gesendet.

Wer seinen Lauschposten günstig positioniert hat und die Mail mitlesen kann, ist auch in der Lage, mit dem Passwort an die geheime Nachricht zu kommen. Das Hushmail-Gefrickel macht das Lesen also für mich theoretisch umständlicher, bringt aber der Sicherheit gar nichts.

Ich schreibe theoretisch, weil ich die Nachricht nicht gelesen habe und auch nicht lesen werde, denn der Link zur Nachricht enthält eine auf mich zurückzuführende Identifikationsnummer. Ich habe mir nicht Privoxy installiert, um mir anschließend beim Lesen meiner Mails über die Schulter schauen zu lassen. Wann, ob und wie lange ich mein Mails lese ist meine Privatsache.

Für weiteren Unmut sorgt, dass die Mail zwar vor Anhängen von unbekannten Personen warnt, jedoch selber drei mitschleppt. Textmails regeln, nur Anfänger schicken bebildertes HTML.

Wenigstens passt das Logo

Natürlich konnte ich es mir nicht verkneifen, einen kurzen Blick auf die Homepage dieser Amateure zu werfen. Ich wurde nicht enttäuscht, der Schwachsinn geht weiter:

Please Note: If you're seeing this message you MUST enable ActiveScripting / JavaScript in your browser.

Freie Übersetzung: Wenn Du dies liest, musst Du Deinen Rechner zur Fernwartung freischalten.

Auch das Logo trägt zur Erheiterung bei. Für Schlüsselloch-Spanner sicher angemessen.

Und nun?

Ich hoffe, Du wirst in Zukunft auf die Lachnummer Hushmail verzichten. Wenn Du verschlüsselt mailen willst, besorge Dir einfach ein richtiges Mailprogramm.

Falls Dein dickes Lob allgemeiner Natur war und global für die ganze Website gelten soll, werde ich das gerne so akzeptieren, besten Dank. Solltest Du jedoch irgendeine Seite besonders hervorheben, oder sogar kritisieren wollen, versuch es bitte noch mal.

Meine E-Mail-Adresse und der passende Schlüssel sind irgendwo auf dieser Seite versteckt, einer verschlüsselten Textmail steht nichts im Wege.