ProtonMail ईमेल को फिर से लिख देता है
(jfloren.net)- ProtonMail Android ऐप में ऐसी समस्या आई कि लिखने के तुरंत बाद भेजे गए मेल का सिर्फ़ एक हिस्सा ही भेजा जाता था, इसलिए उपयोगकर्ता ने Proton Bridge के साथ दूसरे मेल क्लाइंट जोड़कर इसका workaround किया
- NAS के VM में Bridge चलाकर rinetd और Tailscale से IMAP/SMTP access खोला गया, और Android के FairEmail तथा Linux के Claws में वही अकाउंट इस्तेमाल किया गया
- FairEmail+OpenKeyring और Claws में PGP/MIME signature सेट की गई, लेकिन test mail दोनों क्लाइंट में signed mail के रूप में पहचानी नहीं गई
- Claws maintainer का मानना था कि MIME structure टूट गई है, और Proton Bridge के पुराने issue भी यह दिखाते हैं कि Proton की automatic PGP processing और user signature आपस में टकराती हैं
- समस्या का मूल यह है कि Proton चुपचाप मेल को बदल देता है, लेकिन
multipart/signedयाmultipart/encryptedको ज्यों का त्यों छोड़ने का विकल्प नहीं देता
Android ऐप की समस्या और Proton Bridge workaround
- Google से असंतुष्ट होकर कुछ साल पहले ProtonMail पर जाने के बाद यह ज़्यादातर इस्तेमाल लायक था, लेकिन कुछ महीने पहले Android client ने मेल की content को खराब करना शुरू कर दिया
- लिखना पूरा करके बहुत जल्दी
sendदबाने पर लिखी गई सामग्री का केवल एक हिस्सा ही भेजा जाता था - भरोसेमंद तरीके से भेजने के लिए टाइप करने के बाद लगभग 10 सेकंड इंतज़ार करना पड़ता था
- लिखना पूरा करके बहुत जल्दी
- उपयोगकर्ता ने NAS के VM में Proton Bridge सेट करके Proton ऐप की जगह दूसरे क्लाइंट इस्तेमाल करने का तरीका अपनाया
- Proton Bridge केवल
127.0.0.1पर listen करता है - rinetd से IMAP और SMTP ports पर आने वाले connections को Bridge तक forward किया गया
- उस बॉक्स और फ़ोन पर Tailscale सेट करके Android mail client को Proton account से जोड़ा गया
- Proton Bridge केवल
- Android पर FairEmail इस्तेमाल किया गया, और Linux पर Claws से access किया गया
PGP/MIME signature के टूटने की प्रक्रिया
- इसके बाद outgoing messages में PGP signature जोड़ने के लिए client settings की गईं
- केवल signing के लिए subkey को Android device पर export किया गया
- FairEmail+OpenKeyring सेट किया गया
- Linux के Claws को भी PGP/MIME के लिए configure किया गया
- खुद को भेजे गए test messages को Claws और FairEmail, दोनों में signed mail के रूप में पहचाना नहीं गया
- PGP inline पर बदलने से यह काम करता है
- Claws maintainer ने जवाब दिया कि MIME structure टूट गई है
- maintainer द्वारा भेजा गया signed mail, Claws में सही तरह verify हुआ
- Proton शुरू से outgoing PGP signature को तोड़ता आया है, इसके उदाहरण के तौर पर proton-bridge issue #26 और issue #320 दिए गए
- Proton की इस behavior को इस तरह समेटा जा सकता है
- सामान्य ईमेल को Proton के ज़रिए किसी दूसरे Proton client पर भेजने पर Proton अपने आप PGP signing और encryption करता है
- यह automatic signing/encryption, उपयोगकर्ता द्वारा सीधे लागू की गई signature के साथ साथ नहीं चल पाता
- नतीजतन, उपयोगकर्ता की लगाई हुई signature टूट जाती है
- उपयोगकर्ता की मुख्य शिकायत यह है that Proton में
multipart/signedयाmultipart/encryptedmessages को बिना बदले छोड़ने के लिए निर्देश देने का कोई विकल्प नहीं है - उपयोगकर्ता मानता है कि PGP का बहुत व्यापक उपयोग नहीं है, लेकिन उसका कहना है कि Proton चुपचाप ईमेल बदल देता है और उपयोगकर्ताओं की शिकायतों पर “हम बेहतर जानते हैं” जैसा रवैया दिखाता है, इसलिए वह दूसरे email host पर विचार कर रहा है
1 टिप्पणियां
Hacker News की राय
अगर सिर्फ़ शीर्षक देखकर आप ProtonMail छोड़ने वाले हैं, तो यहाँ “ईमेल को फिर से लिखता है” का मतलब ज़्यादा यह है कि ProtonMail ने अपने automatic signing·encryption सिस्टम को जिस तरह डिज़ाइन किया है, उसके कारण यह user-applied PGP signatures को support नहीं करता
इसका मतलब यह नहीं है कि वह outgoing email के body को आम लोगों के समझने वाले अर्थ में मनमाने ढंग से बदल देता है
अगर आप उन 99.9% लोगों में हैं जो ईमेल पर sign नहीं करते या signatures verify नहीं करते, तो संभव है कि व्यवहार में यह कोई बहुत बड़ी समस्या न हो, लेकिन फिर भी इस issue पर Proton की प्रतिक्रिया मज़ाक जैसी लगती है
https://github.com/ProtonMail/proton-bridge/issues/26
अगर PGP जैसी बुनियादी चीज़ भी ठीक से handle नहीं होती, तो software के बाकी हिस्सों पर कैसे भरोसा करें, खासकर जब कंपनी खुद को “Privacy-first” कहती है
आजकल “Privacy” बस एक marketing term बनती जा रही है
“लगता है यह ProtonMail के उस behavior से जुड़ा है जिसमें mime encoded parts होने पर वह सारे plain text email हटा देता है”
https://github.com/ProtonMail/proton-bridge/issues/26#issuec...
बल्कि यह बात और भी चौंकाने वाली है कि अगर HTML जैसे mime encoded parts मौजूद हों, तो वह plain text part को ही हटा देता है
जाँच करने पर पता चला कि GMail से import किए गए mail और ProtonMail में नए मिले mail अब सिर्फ़ HTML part छोड़ते हैं, जबकि GMail के original view में HTML और plain text, दोनों parts दिखाई देते हैं
यानी बाद में अगर आप उसे text-only client से पढ़ना चाहें, तो पढ़ नहीं पाएँगे, और यह storage बचाने के लिए भी नहीं है, तो समझ नहीं आता कि किसी ने कैसे सोचा कि इसे इस तरह बिगाड़ना ठीक है
storage का पैसा मैं खुद दे रहा हूँ
बड़े vendors के नज़रिए से लगता है कि जैसे ही email उनके system में आता है, वह मूल अर्थ वाला email नहीं रहता बल्कि उनका object बन जाता है
अभी शायद वे सिर्फ़ मेहरबानी करके उसका कुछ हिस्सा फिर से reconstruct कर रहे हैं
जैसे product को बदतर बनाया जा रहा हो, कहीं न कहीं cost बचाई जा रही हो, और उम्मीद की जा रही हो कि काफ़ी ग्राहक इसे notice न करें
अच्छा लगा कि किसी ने साफ़-साफ़ कहा कि लोगों को शिकायत के जवाब में “हम ज़्यादा जानते हैं” वाला चालाक रवैया पसंद नहीं आता
मुझे यह मत समझाइए कि मैं चीज़ को गलत तरीके से पकड़े हुए हूँ; कम से कम यह मानिए कि product की limitations की वजह से मैं वह नहीं कर पा रहा जो चाहता हूँ, और फिर सोचिए कि क्या इसे बदला जा सकता है
अक्सर उसका मतलब होता है हमारे तरीके से इस्तेमाल करो, वरना चले जाओ
काफ़ी बेहूदा है
ProtonMail वाकई सबसे खराब है
जब भी ऐसा thread आता है, मैं business के लिए ProtonMail इस्तेमाल करने की कोशिश के अपने अनुभव साझा करने लगता हूँ
ProtonMail हर account के लिए charge करता था, चाहे email account active हो या न हो, और जब कोई employee नौकरी छोड़ दे तो मैं address को deactivate करके email history संभालकर रखना चाहता था
लेकिन ProtonMail से email export करना इतना मुश्किल है कि उसके लिए engineer की ज़रूरत पड़ जाए
इसलिए मैंने पूछा, “क्या ऐसा feature जोड़ा जा सकता है जिसमें email address को permanently deactivate किया जाए और उसके बाद charge न लगे,” तो ProtonMail-स्टाइल का वही घुमा-फिराकर जवाब मिला
search पहले से ही simple substring search से भी खराब थी, इसलिए मैं पहले ही नाखुश था, और professional use में कुछ साल बाद पुरानी conversations ढूँढने की ज़रूरत पड़ती ही है
आखिरकार मैंने account cancel कर दिया और privacy.com card बंद कर दिया
एक साल बाद देखा कि बंद हो चुके card पर अब भी हर महीने charge लग रहा है, तो मैंने पुराने account में login करने की कोशिश की, लेकिन password manager में saved password काम नहीं कर रहा था
मैंने email भेजकर कहा कि शायद कोई bug है, तो support person ने काफ़ी देर तक उलझाने के बाद payments रोकने के लिए credit card details माँग लीं
वह card तो मैं एक साल पहले ही बंद कर चुका था, इसलिए मेरे पास उसकी details नहीं थीं, और वहीं पर मैंने जवाब देना बंद कर दिया
मेरी नज़र में यह बहुत बड़ा red flag है कि आप privacy उन लोगों को सौंपें जो reasonable सवाल पूछने वाले paying customers के साथ दुश्मनी जैसा बर्ताव करते हैं
Proton ज़्यादा उस तरह की service है जो recipients के बीच की बातचीत को पूरी तरह private रखना चाहती है, और मुझे तो यह ज़्यादा हैरान करता है कि आप departed employees के email तक अभी भी access रख सकते थे
personal use के लिए आप क्या recommend करेंगे?
अब स्थिति कैसी है? क्या आपने ProtonMail का Import-Export app इस्तेमाल किया, और मौजूदा search को फिर से आज़माया?
यह जानकर झटका लगा कि Android client में बहुत जल्दी “भेजें” दबाने पर लिखा हुआ केवल आंशिक कंटेंट भेजे जाने वाला bug सिर्फ मेरे साथ नहीं हुआ था
डॉक्टर और financial advisor को भेजे गए emails कई बार इसी तरह कट गए थे, और मुझे साफ़ याद था कि मैंने पूरा लिखा था, इसलिए मैंने गंभीरता से शक किया था कि कहीं cancer treatment के लिए ली जा रही दवा मुझमें छोटी-सी hallucination तो नहीं पैदा कर रही
दरअसल हम पूरे Android app को फिर से लिख रहे हैं, इसलिए यह अधिक stable और इस्तेमाल में आसान होगा, और शायद इस साल के अंत तक आ जाएगा
तब तक अगर Android Proton Mail app में बार-बार भेजने की समस्या आए, तो किसी भी device पर web app(https://mail.proton.me) इस्तेमाल किया जा सकता है
अगर कोई email service ईमेल सही से भेज ही नहीं सकती, तो उसका मतलब क्या है?
मुझे अहम मौके पर यह bug झेलना पड़ा, और सोचता हूँ कि अगर recipient ने खाली email की सूचना दिए बिना उसे नज़रअंदाज़ कर दिया होता तो क्या होता
अब मैं ऐसे ज़्यादा भरोसेमंद provider की तलाश में हूँ जहाँ IMAP/SMTP ठीक से काम करे और GPG संभालने वाला असली email client इस्तेमाल किया जा सके
यह application development regression और bug है; शायद Proton के लिए शानदार product बनाना बहुत दिलचस्प काम नहीं है
यह अब भी हैरान करता है कि Apple ने PGP process को smooth बनाने की कोशिश अब तक नहीं की
मैंने सोचा था कि device पर key बनाई जाएगी, iCloud से sync होगी, और फिर public key publish की जाएगी
Apple privacy को इतना आगे रखता है, इसलिए उम्मीद थी कि Gmail, Outlook जैसी जगहें भी native PGP अपनाएँगी, लेकिन शायद वह सिर्फ उम्मीद ही थी
यह niche users और enthusiasts के दायरे में सिमट गया है, और समस्याएँ इतनी हैं कि Signal जैसे ऐसे alternative messaging platform का उपयोग बेहतर है जिन्हें शुरू से encryption को ध्यान में रखकर बनाया गया है
उदाहरण के लिए, अगर आपने encrypted email भेजा और recipient उसे forward कर दे तो क्या होगा?
जब recipient reply करेगा, तो क्या मूल email encrypted रूप में शामिल होगा या decrypted रूप में? आमतौर पर दूसरा होता है, इसलिए वही plaintext दो messages में मौजूद होता है
अगर email कई लोगों को भेजा जाए, तो हर recipient के लिए encryption कौन संभालेगा?
अगर कुछ recipients ही encryption support करते हों, और बाकी को वैसे भी plaintext में भेजना पड़े, तो encryption का मतलब क्या रह जाता है?
ऐसे mailing list पर कैसे भेजेंगे जहाँ participants का पता नहीं है?
मानक रूप से क्या encrypt किया जाना चाहिए? सिर्फ body? email header यानी subject? बाकी headers?
और अगर सिर्फ signing चाहिए, तो मानक रूप से किस चीज़ पर sign होगा? बातचीत के दौरान text कई बदलावों से गुजरता है, तो वह signature कैसे बचेगा?
user recipient address लिखे, server उस address को verify करे, mail host से encryption key माँगे, mail host key भेजे, और user email लिखता रहे—शायद कुछ ऐसा
UDP-based HTTPS जैसा एहसास
encrypted email सही से काम नहीं करता
https://latacora.micro.blog/2020/02/19/stop-using-encrypted....
https://support.google.com/a/answer/10741897
https://security.googleblog.com/2023/06/gmail-client-side-en...
अगर email company के पास private key है, तो फिर PGP का मतलब क्या है?
क्या बस network पर email के transit के दौरान security और signature verification ही बचता है?
private key sharing किसी राज़ को सुरक्षित रखने का बड़ा अजीब तरीका है
लेकिन उनमें से कुछ download ही नहीं हो पा रही थीं
मैंने test करके bug report भेजी, तो ProtonMail ने जवाब दिया कि वह यह मानकर decrypt करने की कोशिश करता है कि attachment user address key से encrypted है
मूल filename को restore या recreate करते समय .gpg extension हटा दिया जाता है
सबसे चौंकाने वाली बात यह थी कि workaround के रूप में ProtonMail ने attachment की public key से मेल खाने वाली private key import करने का सुझाव दिया, और मेरे दोस्त ने इससे सहमति नहीं दी
वह user password से encrypted private key store करता है, और वह password भी हमें मालूम नहीं होता
2 साल पुराना issue भी है
https://github.com/ProtonMail/proton-bridge/issues/180
Proton open source software developers के लिए patch भेजना मुश्किल बनाता है, और उसे परवाह भी नहीं है
https://git-send-email.io/#step-2
वहाँ यह पंक्ति भी है: “Protonmail आम तौर पर काफ़ी खराब email host माना जाता है. यह outgoing email को तोड़ देता है, जिससे patches दूसरी तरफ़ apply नहीं हो पाते. open source के साथ खराब बर्ताव और security पर झूठे वादों की तो बात ही छोड़ दें. किसी दूसरे mail provider पर विचार करें”
अच्छी बात यह रही कि मैं एक हफ़्ते में ही सेवा बदलकर पूरा refund पा सका
सुरक्षा पर शिकायत करते हुए मैंने http link submit कर दिया—यह एहसास अपने आप में एक विडंबना है
NAS की virtual machine पर Proton Bridge सेट करना, 127.0.0.1 पर ही सुनने वाले bridge तक IMAP/SMTP ports पर आने वाले connections को
rinetdसे forward करना, और उस box तथा फ़ोन पर tailscale सेट करके Android email client (FairEmail पसंदीदा) और Linux के Claws से Proton account तक पहुँचना — यह setup self-hosting की काफ़ी जटिलता जैसा लगता हैमुझे खुद नहीं पता, लेकिन यह बार-बार उठने वाला विषय है