CleanPress

Schlagwort: Thunderbird

  • Thunderbirds neue Kleider

    Logo: Mozilla Licence: CC BY-SA 3.0

     

    Der E-Mail-Client Thunderbird ist in die Jahre gekommen. Das sieht man vor allem am etwas altbackenen Design. Im Verlauf des Jahres 2016 machte sich die polnische Designfirma Monterail daran, Mozillas E-Mail-Client ein neues Gesicht zu verpassen. Die Mockups fanden damals breite Verteilung, die Reaktionen waren zunächst zweigeteilt, am Ende überwog allerdings die Zustimmung zu der Design-Änderung. Das Team lernte daraus nach Aussagen von Krystian Polański, einem der Designer allerdings, dass ein akzeptables neues Design eine Gratwanderung zwischen dem jetzigen Design und einem moderneren Look sein muss.

    Waren die Mockups von Monterail nur zum Anschauen, setzte ein Anwender die Idee als benutzbares Theme auf GitHub um und fand damit großen Anklang. Thunderbird-Entwickler Richard Marti packte dies zu einem Add-on zusammen, dass aus Thunderbird heraus installierbar ist. Seit einigen Monaten herrscht reger Austausch von E-Mails zwischen Monterail und den Thunderbird-Entwicklern, um Fehler auszubessern und neue Ideen zu diskutieren.

     

    Da es schwer ist, es bei einem solchen Re-Design allen 26 Millionen Anwendern von Thunderbird unter Linux, Windows und macOS recht zu machen kam schließlich der Punkt, wo es Zeit war, die Anwender inm bester Open-Source-Manier mit einzubeziehen. Immerhin geht es dabei nicht nur um das Aussehen, sondern auch um die Bedienbarkeit der Anwendung. Somit wurde jetzt eine Umfrage gestartet, deren Ergebnisse die Grundlage weiterer Design-Änderungen sein wird. Bis zum 6. Februar können Anwender Lob und Kritik an Thunderbird loswerden bevor es an die Auswertung geht. Danach wollen die Designer eine Roadmap aufstellen, nach der in den folgenden Monaten die Ergebnisse umgesetzt werden.

    In den ersten Kommentaren der Ankündigung  herrscht Kritik sowohl an der Design-Änderung als auch an der Gestaltung der Umfrage selbst vor. Ein Kommentator erhofft sich einen Fallback um gegebenenfalls zum alten Design zurückkehren zu können. Ein weiterer Einwurf betont, die wirklichen Probleme von Thunderbird lägen im Code, nicht im Design und verweist auf die bei Firefox mittlerweile entfernte Abhängigkeit von XPCOM und XUL. Auch auf Hacker News gehen die Kommentare in diese Richtung. Es bleibt also weiterhin spannend.

  • Autocrypt zur E-Mail-Verschlüsselung

    Autocrypt
    Bild: „Pink is locked“ von Sergey Kochkarev Lizenz: Public Domain Mark 1.0

    Der Berliner E-Mail-Provider Posteo unterstützt seit einigen Tagen Autocrypt. In einem Newsletter wurde ich erst auf dieses neue Verschlüsselungsverfahren aufmerksam, das sich auf die Fahnen geschrieben hat, echte Ende-zu-Ende-Verschlüsselung bei E-Mail-Programmen erheblich zu vereinfachen. Die neue Verschlüsselungsmethode wird derzeit in verbreitete E-Mail-Programme wie Thunderbird mit Enigmail und K-9 Mail für Android integriert. Neue Versionen dieser Programme wie Enigmail 2.0 und K-9 Mail 5.3 werden Autocrypt unterstützen.

    Automatisierter Schlüsseltausch

    Verwenden Absender und Empfänger Autocrypt-fähige E-Mail-Programme, müssen sie für eine Ende-zu-Ende-verschlüsselte Kommunikation nichts mehr tun: Die E-Mail-Programme verschlüsseln E-Mails vor dem Versand automatisch mit PGP und tauschen öffentliche Schlüssel automatisch im Hintergrund aus. Das oft als kompliziert empfundene manuelle Austauschen und Verwalten von GPG-Schlüsseln entfällt damit ersatzlos.

    Vor der ersten verschlüsselten Kommunikation wird stattdessen einmalig eine reguläre E-Mail ohne Inhalt zugesendet. Bei diesem Versand wird erstmals der Schlüssel im Hintergrund übertragen. Ab diesem Zeitpunkt können alle Nachrichten automatisch verschlüsselt werden. Autocrypt ist Open Source, funktioniert anbieterübergreifend und setzt auf echte Ende-zu-Ende-Verschlüsselung, bei der ein privater Schlüssel stets beim jeweiligen Nutzer verbleibt.

    Posteo mit zusätzlicher Absicherung

    Bisher ist es nicht vorgesehen, dass E-Mail-Provider sich an der Schlüsselverteilung von Autocrypt beteiligen. Posteo macht hier einen ersten Schritt und sichert dabei das Schlüsselaustauschverfahren weiter ab. Posteo bietet bereits verschiedene Verschlüsselungsverfahren und viele Kunden haben ihre öffentlichen PGP-Schlüssel bereits über Posteo zugänglich gemacht. Mit Autocrypt können E-Mail-Programme öffentliche Schlüssel bald automatisiert über die E-Mail-Header austauschen.

    Die providerseitige Unterstützung sorgt nun dafür, dass ein Autocrypt-fähiges Programm den Schlüssel auch dann erhält, wenn der Posteo-Absender ein Programm ohne Autocrypt verwendet. Liegt der öffentliche Schlüssel des Absenders vor, fügt Posteo fügt vor jedem E-Mail-Versand den für die Verschlüsselung benötigten Autocrypt-Header selbst hinzu. Der Kommunikationspartner kann dann verschlüsselt antworten ohne einen manuellen Schlüsselaustausch vornehmen zu müssen.

    Autocrypt mit DKIM

    Bei jedem weiteren Versand wird der aktuelle Schlüssel im Autocrypt-Header übermittelt. In den Programmen der Kommunikationspartner sind somit stets die aktuellen Schlüssel hinterlegt. Posteo sichert den Schlüsselaustausch mit Autocrypt zusätzlich mit digitalen Signaturen über DKIM ab. Die DKIM-Signierung sorgt dafür, dass öffentliche Schlüssel auf dem Transport nicht unbemerkt manipuliert werden können. Auch Autocrypt-Header, die das  lokale E-Mailprogramm gegebenenfalls hinzufügt, werden mit DKIM signiert.

  • Thunderbird soll modernisiert werden

    Mozilla Thunderbird
    Screenshot: ft

    Die Weiterentwicklung von Mozillas E-Mail-Client Thunderbird liegt in den Händen des Thunderbird-Projekts, während Infrastruktur und die steuerliche sowie rechtliche Seite noch bei der Mozilla-Foundation liegen. Über eine lange Zeit wurde Thunderbird lediglich gepflegt und kaum erweitert. Mozilla hatte die Weiterentwicklung eingestellt und war der Meinung, die Anwendung sei ausentwickelt.

    Vier neue angestellte Entwickler

    Die Community-Entwickler, die sich um den Code kümmern, wollen nun mit neuen fest eingestellten Kollegen Thunderbird die dringend nötige Modernisierung zukommen lassen. Das Thunderbird-Projekt umfasst sowohl die Community-Entwickler als auch die Unterstützung der Firma Softmaker, in deren Office-Suite auch Thunderbird integriert ist. Im laufenden Jahr hat das Projekt erstmals vier neue Entwickler eingestellt, weitere sollen folgen.

    Langjähriges Community-Mitglied eingestellt

    Bereits seit November 2016 ist der langjährige Thunderbird-Freiwillige Jörg Knobloch fest unter Vertrag. Seitdem Jörg vom Freiwilligen zum Vertragspartner geworden ist, hat sich sein Fokus von der Fehlerjagd auf die Übernahme der Verantwortung für das Produkt verlagert. Als kontinuierlicher Integrationsingenieur garantiert er, dass »Thunderbird Daily« immer mit den Änderungen des Mozilla-Kerns synchronisiert ist, um Daily in einem funktionierenden Zustand zu halten. Jörg verwaltet den gesamten Code für Releases und überwacht Regressionen. Als Thunderbird-Pate überprüft er die Arbeit anderer und ist Teil des »Engineering Steering Committee«, das für die Codebasis verantwortlich ist.

    Im März 2017 schloss sich Andrei Hajdukewycz dem Thunderbird-Team an. Andrei ist der Infrastrukturingenieur des Projekts. Er hat daran gearbeitet, das Projekt von der Nutzung der Mozilla-Infrastruktur auf die Erstellung einer eigenen Infrastruktur umzustellen. Er verwaltet alle Websites, die das Projekt nutzt. Bald werden  auch Thunderbird-Add-ons auf Thunderbirds eigene Add-ons-Seite umgestellt.

    Im Juni 2017 trat Tom Prince als Build-and-Release-Engineer in das Projekt ein. Er sorgt dafür, dass Daily, Beta und ESR immer in allen Lokalisierungen erstellt werden können. Er hilft auch bei der Diagnose von Tests und Fehlern. Kürzlich hat Tom das Thunderbird Build-System von Buildbot nach TaskCluster migriert, um diesen Aspekt des Projekts zukunftssicher zu machen.

    Die letzte Anstellung des Projekts im Dezember 2017 war Ryan Sipes als Community Manager. Seine Aufgabe ist es, die Gemeinschaft der Freiwilligen einschließlich der Add-on-Autoren zu organisieren, gute Nachrichten über Thunderbird zu verbreiten, mit den Spendern zusammenzuarbeiten, um einen soliden Spendenfluss zu gewährleisten und mit den Thunderbird-Anwendern in Kontakt zu bleiben.

    Erst der Anfang

    Diese vier Mitarbeiter sind nur der Anfang. Das Projekt ist derzeit dabei, Entwickler einzustellen, um einige technische Probleme zu lösen und die Codebasis von einer Mischung aus C++, JavaScript, XUL und XPCOM in eine zunehmend auf Web-Techniken basierende Zukunft zu überführen.

    Derzeit ist Thunderbird 52 die aktuelle stabile Version, die derzeit bei 52.5.0 steht. Daneben gibt es die Beta-Versionen 57 und 58, die auf der jeweiligen Codebasis von Firefox basieren und somit auch deren Änderungen im Rahmen von Firefox Quantum beinhalten. Ausnahme sind die Änderungen bezüglich der Add-ons, die Thunderbird erst mit Version 59 übernimmt. Dabei besteht die Hoffnung, bis dahin alle Erweiterungen auf WebExtensions umgestellt zu haben.

    Beim Design folgt Thunderbird 57 dem Photon-Design von Mozilla und bringt ein neues Theme auf Basis des Design des Monterail-Teams mit. Eine aktuelle Beta-Version von Thunderbird ist auf der erst kürzlich übernommenen Domain Thunderbird.net zu finden.

     

  • Mozilla Thunderbird mit schweren Sicherheitslücken

    Mozilla Thunderbird
    Screenshot: ft

     

     

    Alle Versionen von Mozillas Mail-Client Thunderbird bis einschließlich 52.4.0 weisen einige schwerwiegende Sicherheitslücken auf. Davor warnte gestern die Webseite Cert-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI stuft das Risiko durch diese die Lücken als sehr hoch ein. Betroffen sind die Betriebssysteme Linux, BSD, macOS und Windows.

    Distributionen hinken hinterher

    Mozilla hatte bereits am 23. November ein entsprechendes Security Advisory veröffentlicht und Thunderbird 52.5, das die Lücken schließt, zum Download freigegeben. Das Thema ging in der Presse unter, noch haben auch nicht alle Distributionen die neue Thunderbird-Version an die Anwender ausgeliefert. Zum jetzigen Zeitpunkt fehlen zumindest bei Debian Unstable und bei Arch Linux Pakete der Version 52.5.

    Remote-Code-Execution (RCE) möglich

    Die beiden Lücken, die als CVE-2017-7826 und CVE-2017-7828 katalogisiert sind, ermöglichen einem nicht authentisierten Angreifer, aus der Ferne die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle, die als CVE-2017-7830 katalogisiert ist, ermöglicht dem Angreifer das Ausspähen von Informationen. Die Lücken können nicht per E-Mail ausgenutzt werden, da Scripting beim Lesen von E-Mails generell deaktiviert ist. Die fehlerbereinigte Version 52.5 kann von der Mozilla-Webseite heruntergeladen werden.