Das Problem ist, dass das ein Spannungsfeld zwischen Usability/Benutzbarkeit und Sicherheit/Datenschutz ist.
Und da gilt halt auch irgendwo das Sprichwort „Form follows function“ oder „Usibility schlägt Sicherheit“. …
Denn was nützt mir ein inherent sicheres IT-System, dass die Funktionsanforderungen der Anwender nicht erfüllt? Nichts!
Wir haben das bei uns auf Arbeit sehr viel, seit dem wir gehackt wurden. Danach wurden etliche Systeme vom Rechenzentrum super sicher gemacht. Das ührt nur leider dazu, dass man sie nur noch mit „Pain in the Ass“ benutzen kann.
Das Problem dabei ist, dass es aus diesem Grund fast niemand mehr benutzt. Für die IT ist das natürlich toll, denn ein System das nicht benutzt wird, ist super sicher …
Das führt aber auch zu der Schattenseite, dass die Leute anfangen sich irgendwelche kruden Bastel-Lösungen zu stricken, damit sie arbeiten können. Und diese Schatten-IT wird dann gar nicht betreut und reist neue Lücken …
Es funktioniert halt nicht, den Anwendern einfach nur zu sagen, dass sie die funktionierende Lösung nicht nehmen dürfen, weil sie unsicher ist, ohne einen funktional gleichwertigen Ersatz zu liefern!
Ob das an den Voreinstellungen liegt? Laut iServ-Doku arbeiten die mit der klassischen Zweiteilung HTML vs. Plain Text:
Mit einem Klick auf Formatiert wird die E-Mail zu einer HTML E-Mail, wodurch nun Funktionen zur Formatierung Ihrer Nachricht verfügbar sind. […] Mit Klicken auf Unformatiert wird die E-Mail wieder zu einer Plaintext E-Mail. Bedenken Sie, dass damit jegliche vorgenommenen Formatierungen verloren gehen.
Rich-Text: Outlook verwendet das Transport Neutral Encapsulation Format (TNEF) zum Verpacken von Nachrichteninformationen. Empfängernachrichtensysteme, die nicht auf Microsoft Exchange basieren, können möglicherweise keine Nachrichten interpretieren, die dieses TNEF-Format verwenden. Wenn das Nachrichtensystem des Empfängers dieses Format nicht verarbeiten kann, wird der Nachricht eine Dateianlage mit dem Namen Winmail.dat hinzugefügt.
Microsoft mal wieder: Proprietäre Sonderlocken, die nur mit sich selbst kompatibel sind…
Unbedingt. Die Office-Suite von Microsoft ist auch deshalb so beliebt, weil zwischen Outlook und dem Rest ‚Copy-Paste-Ability‘ herrscht. Mit einem modernen Rechtemanagement, das ‚by design‘ auf Sicherheit setzt (Wayland-Protokoll, Containerformate wie Snap/Flatpack oder gar Qubes OS als Betriebssystem) werden solche Interaktionen zwischen Programmen erschwert, an die sich die User gewöhnt haben.
Ich erinnere mich an ein Heise-Interview mit dem Chef-IT-Dienstleister von Schwäbisch Hall, wo die Umstellung von Windows zu Linux zu Beschwerden aus der Belegschaft über mangelnde Copy-Paste-Funktionalität geführt hat. Technisch lösbar sollte das aber alles sein.
Geht mir auch so. Bei NGOs mache ich das aber noch. Da ist die Bereitschaft oft größer. Die normalen Sachbearbeiter wissen idR gar nicht, wie sie die Einstellungen ändern können. Und dem Admin bescheid sagen ist denen zu viel Mühe. Die Web- oder Systemadmins erreicht man ja oft nicht direkt.
So weit ich das verstehe, ändert das ja nichts daran, dass du getrackt wirst. Diese Zählpixel gibt es ja trotzdem?
Ich nutze Evolution statt Thunderbid. Ich habe auch den Empfang auf Text gestellt. Manche Mails kann ich gar nicht lesen. Dann muss ich den Anhang „Anlage html“ öffnen. Meist mache ich das über Libreoffice. Manchmal über den Browser.
Es gibt noch die Option Bilder laden. Dann sehe ich die Mail auch als Text.
Schutz vor Tracking ist das nach meinem Verständnis trotzdem nicht.
Für mich sind all diese Privacy und Security Vorkehrungen leider viel zu kompliziert.
Zumal es ja so viele verschiedene Möglichkeiten gibt.
Mir graut schon davor, wenn ich mir ein Smartphone zulegen muss. Schon heute kommt man ja kaum drum herum. Man ist regelrecht ausgeschlossen, ohne Smartphone.
Geht schon los, dass es in der EU erlaubt ist, z. B. Herkunft, Fanggebiete, Produktinfos… nur per QR code zur Verfügung zu stellen. Die funktionieren oft nicht. Nicht mal das Personal im Supermarkt kan mir mit ihren Smartphones dann die Infos geben.
Ich kann nicht mehr machen, als Nyob regelmäßig und Digitalcourage, Open-Source Projekten und Software die ich regelmäßig nutze, immer mal wieder etwas zu spenden.
Doof nur, dass manche dann nur dieses bescheuerte Pay Pal anbieten. Selbst schuld, dann bekommen sie halt nichts.
Open source insbes. Linux + US-Monopolisten passt für mich nicht. Github nutzt Provider MICROSOFT-CORP-MSN-AS-BLOCK hat 127 Drittanfragen mit Provider FASTLY
Das versteh ich nicht. Github rufe ich nur über tor auf.
Die Zählpixel können nur zählen, wenn man das nachladen von Bildern erlaubt.
Ich lass mir alle Mails als Plaintext anzeigen. Sieht dann zwar nicht so „schön“ aus, aber mich interessiert nur der Inhalt.
HTML-Mail ist ja keine „funktionierende Lösung“.
Du kannst mir soviel HTML mailen wie Du willst, das wird bei mir schlicht nicht angezeigt.
Wenn Du mir eine bunte Broschüre mailen willst, dann häng die als PDF dran
Wie gesagt. Manche Mailinhalte sehe ich gar nicht. Es gibt wohl eine „Hybrid“ Option, die die Absender wählen können, damit html + Text angezeigt wird?
Um die Mail lesen zu können, muss ich den html Anhang öffnen.
Keine Ahnung, was passiert, wenn ich den in Libreoffice öffne. Da werden die Bilder ja angezeigt. Also das selbe, wie wenn ich in Evolution „Bilder nachladen“ wähle?
Z. B. Diba sendet manche Mails, die ich in Reintext lesen kann, andere nur in reinem html und die Mail ist „leer“.
Aber sie können entscheiden, in welchem Format sie die Mail versenden.
Das meinte ich mit:
Das war aber falsch und missverständlich formuliert. Sorry!
Mit PHP ist es möglich Emails im text und html Format gleichzeitig zu schicken. Und große Firmen sollten idR einen Admin haben, der alles programmiert. Jedenfalls haben einige Firmen auf meine Hinweise und Bitte reagiert und ihre Mails so umgestellt, dass ich sie auch als Text empfangen konnte.
Die meisten versenden leider nur im html Format. Darum besteht ja das Problem, wenn ich auf „nur Text“ Empfang stelle. Dann sind nicht alle Mails lesbar.
Aber man kann das auswählen welches Format man verschickt.
Das kann m. W. jedes Mailprogramm. Auch outlook. Auch web.de etc. bieten das an. Allerdings nur entweder html oder Text.
Thunderbird konnte glaube ich beides. Versenden als Text und html. Das ist natürlich optimal, weil man nicht weiß, was der Empfänger eingestellt hat.
Ich habe thunderbird so eingestellt, dass Mails nur als "Reiner Text"abgezeigt werden. Daneben kann man auch umstellen auf vereinfachtes html (und richtiges html). Das muss man nur hinterher wieder zurückstellen. Laut Mike gibt es dazu ein Addon, damit man einfach mit einem Button umschalten kann.
Die anderen Mails lese ich im Webmailer. Da kann man auch „reiner Text“ einstellen. Jetzt hat Posteo die Funktion in ein Aufklappmenü versenkt, ich glaub man muss das jetzt jedesmal einzeln einstellen. (ich hoffe, dass uBO etwaige Zählpixel rausfiltert) - zumindest wurden mir Mails vorher prinzipiell nur als „Reiner Text“ angezeigt, jetzt nicht mehr.
Edit: Gerade in der Hilfe nachgeschaut: Da schreibt Posteo:
Wenn ich etwas gar nicht lesen kann (oder wenn ich bei einem nicht angezeigten Video die youtube-URL wissen will oder so) schau ich mir mal den Quellcode an. Ist zwar etwas mühsam, zwischen den html-tags zu lesen, aber klappt…
Das ist auf jeden Fall eine zusätzliche Fehlerquelle. Ich hatte schon mal eine Mail bekommen, die ich erst für Spam hielt, bei der sich dann aber herausstellte, dass der falsche Plaintext-Teil in die Mail verbaut wurde - der (u.a.) für mich bestimmte Inhalt war nur im HTML-Teil. Das war übrigens auch wieder eine Mail, die außer zwei fett geschriebenen Wörtern keine wirklichen HTML-Elemente enthielt - der Link, der dort verschickt wurde, stand auch im Text und wäre bei allen Mailclients, die ich benutze, anklickbar gewesen. Der Absender dieser Mail war übrigens der Meinung, im HTML-Teil eine Schriftart vorgeben zu müssen, die bei mir so oder so nicht angezeigt worden wäre, weil ich diese Schriftart nicht auf meinem Rechner habe.
Mittlerweile nutze ich wieder häufiger Claws Mail. Der nimmt bei einer Multipart-Mail den HTML-Teil und stellt ihn so dar, als wenn er Plaintext wäre - nützlich bei Multipart-Mails, deren Plaintext-Teil nur aus dem Hinweis besteht, dass der Mailclient kein HTML darstellen könne. Externe Referenzen werden überhaupt nicht nachgeladen und auch nicht durch Platzhalter angezeigt. Lediglich Links bleiben anklickbar.
Clawsmail hatte ich auch mal. Es gelang mir nicht, meine Aliasadressen zu konfigurieren, und mit dem Verschlüsselte kam ich auch nicht klar. Wollte ich ältere Nachrichten entschlüsseln, wurde keine Passphrase abgefragt und ich konnte die Nachricht nicht lesen.
Für mich ist Clawsmail zu kompliziert. Für manche Dinge bin ich wohl schon zu alt, oder zu dumm
Bei der Fülle an Informationen kann auch nicht mehr alles auf der Packung stehen. Das Fanggebiet sollte allerdings wirklich direkt analog erkennbar sein.
Es gibt mit Pixel+ GOS eine gute Möglichkeit ein Smartphone datenschutzfreundlich rein als Hilfs- und Informationsmittel zu nutzen. Vielleicht hilft das die Ablehnung - bei allen berechtigten Gründen - zu überdenken.
Allerdings scheinen diese QR-Codes auch wirklich keine gezielten Infos zu beinhalten. Hatte das mal probiert und man wurde nur auf eine nichtssagente Marketingseite ala „wir sind nachhaltig, ökologisch und hier finden sie alle Informationen“. Seit dem meide ich diese Marke, weil sie bei mir wie verarsche rüberkommt.
Ich habe ja kein Smartphone. Aus Überzeugung. Ist mir zu kompliziert, wie ich mich da schütze. Ich bin ja schon überfordert meinen Laptop (stationär) entsprechend zu konfigurieren (Pi-hole, DNS, VPN…)
Ich frage mich, was das BSI mit „schädlichem Code“ in HTML-Mails meint. Meines Wissens nach gibt es keinen Mail-Client, der so irre ist, JavaScript-Code in HTML-Mails zu interpretieren. Und welche andere Möglichkeit gibt es ansonsten, Code in HTML auszuführen?
auch html ist Code, schon HTML wird zur Darstellung in der Regel interpretiert, sowas schau ich mir uninterpretiert in der Regel nur an, wenn mich was interessiert, was ich nicht sehen kann oder wenn der Autor meint, ich dürfe es nicht kopieren.
egal, was dagestellt werden soll, mit steigenden Darstellungsmöglichkeiten nimmt die Wahrscheinlichkeit zu, daß was schief laufen kann
Da immer mehr Leute Webmail nutzen, nutzen sie einen Browser statt eines Mailclients. Browser interpretieren standardmäßig JavaScript-Code. Wie das bei Smartphone-Apps ist, weiß ich nicht. Ich vermute aber, dass diese ebenfalls JavaScript-Code ausführen.
Thunderbird ist zumindest in der Lage, JavaScript-Code auszuführen. Das ist zwar standardmäßig deaktiviert, aber man weiß ja nie, ob Mozilla das mal ändert. Ich hätte z.B. auch nicht gedacht, dass Thunderbird standardmäßig das Annehmen und Speichern von Cookies einschalten würde.
Mein Stand ist, dass eigentlich alle vernünftigen Browerbasierten Mailclients wie z.B. Google Mail das HTML vorher sanitizen und jegliche Scripte entfernen. (Google z.B. stripped soviel weg, dass man manche HTML-Elemente nicht mal nutzen kann und mit den Designmöglichkeiten stark eingeschränkt ist.)
Nur die fürs Tracking so wichtige IP, die ‚stripped‘ Google natürlich nicht weg, die wird mit jeder Email mitgesendet, damit Google auch die von deinen Kontakten erfährt und die gleich mittracken kann.
Ganz anders Posteo.de oder Mailbox.org …
