يتجاوز فايرفوكس الحماية بسهولة في واجهة Gmail الجديدة

قدمت Google مؤخرًا تصميمًا جديدًا لـ Gmail. عند الرغبة ، يمكن لكل مستخدم التبديل إليه ، وسرعان ما سيضطر جميع مستخدمي G Suite إلى النقل .

يطبق هذا التصميم العديد من ميزات الأمان الجديدة ، بما في ذلك الوضع السري . هنا ، يحدد المرسل فترة صلاحية الرسالة ، وبعد ذلك "تختفي". على الأقل يجب أن يعمل. في الواقع ، هناك عدة طرق للتغلب على هذه الحماية أو حفظ الرسالة المستلمة أو نسخها أو طباعتها.




إنشاء رسالة Gmail سرية: تاريخ اختفاء الرسالة وإدخال رمز التفعيل من SMS ، الذي يجب إدخاله للوصول إليه

تطلق Google على هذا النظام إدارة حقوق المعلومات - وهو مصطلح اخترعته Microsoft منذ أكثر من عقد لميزة مماثلة في Microsoft Office. في الواقع ، هذا نوع من DRM التناظرية ، فقط للبريد الإلكتروني.

يرى المتخصصون من مؤسسة Electronic Frontier Foundation عدة مشاكل في كيفية تنفيذ وضع خصوصية Gmail.

حماية تافهة

أولاً ، هذه طرق بسيطة للتحايل على هذه "الحماية". من الواضح أنه يمكنك التقاط لقطة شاشة للرسالة المستلمة. يمكنك فقط حفظه في شكله الأصلي. على الرغم من أن Gmail لا يحتوي على زر حفظ أو تنزيل بريد إلكتروني ، إلا أن هذا الزر موجود في المتصفح ويعمل بشكل طبيعي على الرسائل السرية.

ثانيًا ، لا يتم حذف الرسالة بالكامل في الواقع - يستمر تخزينها في مجلد العناصر المرسلة للمرسل ، أي على خوادم Google. حتى إذا نقر كل من المرسل والمستلم على الزر "حذف نهائي" وأفرغ المهملات ، فلا يزال يتم تخزين رسائل البريد الإلكتروني على خوادم Google لمدة تصل إلى 60 يومًا .

أخيرًا ، تمنع Google طباعة رسائل البريد الإلكتروني السرية من واجهة الويب. ولكن يتم تنفيذ هذه الحماية باستخدام قواعد @media print CSS ، التي تخفي المحتوى الرئيسي أثناء الطباعة. إزالة الحظر على الطباعة أمر سهل للغاية. على سبيل المثال ، في متصفح Firefox ، افتح محرر النمط في وحدة تحكم الويب - واحذف القواعد غير الضرورية. بدلاً من ذلك ، يمكنك ببساطة النقر فوق رمز شكل العين على اليسار - وتعطيل جميع أنماط CSS على الصفحة. في المتصفحات الأخرى التي تحتوي على أدوات مطورة مضمنة ، يمكنك أيضًا العثور على @media print في الشفرة أو التعليق عليها أو حذفها. ولكن في فايرفوكس ربما يكون هذا هو أسهل طريقة.

بشكل عام ، يتم تطبيق قواعد @media print في المعيار من أجل مساعدة المستخدم على طباعة صفحة بدون "قمامة" غير ضرورية. أي أن Google تستخدم هذه القاعدة لأغراض أخرى وتسيء استخدامها ، كما يقول الخبراء .

استخدمت Google أيضًا بعض الحيل لمنع لصق النسخ ، ولكن يمكن التحايل عليها أيضًا.

بادئ ذي بدء ، يحتوي CSS هذا على خاصية user-select تمنع تحديد النص . يتم إلغاء تنشيطه من نفس محرر النمط في Firefox: ما عليك سوى إيقاف تشغيل جميع الأنماط أو كتابة القاعدة الخاصة بك ، والتي تُرجع السلوك العادي (التلقائي) عند تحديد النص.



ثانيًا ، نفذت Google جافا سكريبت ، مما يمنع قائمة السياق التي تسمح لك بنسخ النص. تتم إزالة هذا التقييد في Firefox في التكوين about:config ، حيث يجب تعيين الإعداد dom.event.contextmenu.enabled على false (يعني خطأ أن JavaScript ليس لديه القدرة على حظر قائمة السياق).

وهم الأمن

يمكن الافتراض أنه حتى هذه الحماية غير الموثوق بها للخطابات أفضل من لا شيء على الإطلاق. للأسف ، الأمر ليس كذلك. وقد حذر خبراء أمن المعلومات مرارًا وتكرارًا من أنه في ظل هذه الظروف ، يكون لدى المستخدمين وهم الأمن. وبسبب هذا ، فإنهم أكثر تهورًا في نقل المعلومات السرية ، معتمدين بشكل غير ضروري على أمان وخصوصية رسائل Gmail. وبعبارة أخرى ، يمكن لهذه الحماية أن تؤدي إلى تفاقم الحماية الحقيقية للمعلومات وزيادة عدد تسربات الوثائق السرية.

"إذا كان المال ، إذا حددت السوق الإجراءات الأمنية وإذا اتخذ الناس قرارات تستند إلى الشعور بالأمان ، فإن أذكى شيء يمكن أن تفعله الشركة بناءً على اعتبارات اقتصادية هو منح الناس إحساسًا بالأمان. وهناك دائمًا طريقتان لتحقيق ذلك. أولاً ، يمكنك حماية الأشخاص حقًا وتأمل أن ينتبهوا. قال بروس شناير في محاضرته في TED ، بعنوان "وهم الأمن" ، أو الثانية - يمكنك أن تخلق شعورا بالأمن وتأمل ألا يهتموا.

إدارة الحقوق الرقمية في البريد

يلفت المتخصصون في مؤسسة Electronic Frontier Foundation (EFF) الانتباه إلى حقيقة أن التشفير الشامل لا يستخدم في الوضع السري ، أي أن الرسالة لا تزال تمر بشكل واضح عبر خوادم Google ، ولدى الشركة القدرة التقنية على تخزين نسخ من الرسائل لفترة غير محدودة ، بغض النظر أنشأت "تاريخ الإزالة".

بالإضافة إلى ذلك ، لتنشيط الحماية عبر الرسائل القصيرة SMS ، يجب على المرسل الإفصاح عن رقم هاتف Google المحمول للمستلم ، من المحتمل أن يكون ذلك بدون موافقة المستلم.



وفقًا لـ EFF ، لا يعتمد نظام IRM (DRM) الذي تم تنفيذه في Gmail على التكنولوجيا ، ولكن على قانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية (DMCA) لعام 1998 ، الذي يحظر صراحةً على الأطراف الثالثة التحايل على هذه الحماية. بالنسبة لأول انتهاك من هذا القبيل ، فإنه يواجه عقوبة تصل إلى خمس سنوات في السجن وغرامة تصل إلى 500 ألف دولار. من الناحية النظرية ، يمكن أيضًا تعطيل الحماية في محرر نمط وحدة تحكم الويب في Firefox انتهاكًا لقانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية. مرة أخرى ، نظريًا ، يحق لـ Google الضغط على مطوري Firefox لإلغاء تنشيط هذه الميزة لـ Gmail ، وبدء مقاضاة مطوري الإضافات الخارجيين الذين سيحاولون إعادة هذه الوظيفة إلى Firefox.

وقال بيان EFF: "نعتقد أن المنتجات الخاصة بأمن المعلومات يجب ألا تعتمد على المحاكم لتقديم ضماناتها المزعومة ، ولكن يجب أن تعتمد على تقنيات مثل التشفير الشامل الذي يوفر ضمانات رياضية فعلية للسرية ". "نعتقد أن استخدام مصطلح" الوضع السري "لوظيفة لا تضمن السرية ، كما هو مفهومة في هذا المصطلح ، هو مضلل".

تعتقد EFF أنه لا يمكن أن تكون هناك سرية في البريد غير المشفر ، وهذا ينطبق أيضًا على "الوضع السري" لـ Gmail. ربما تكون هذه الوظيفة منطقية في بيئة الشركات الضيقة ، ولكن بالنسبة لمعظم المستخدمين ، لا تتمتع بضمانات الخصوصية والوظائف الضرورية المتأصلة في الاتصالات الآمنة. بادئ ذي بدء ، لا يوجد تشفير موثوق به من طرف إلى طرف للبريد بتوقيع رقمي.

---