LN-Waschpress

Schlagwort: Thunderbird

  • Thunderbird 68 ist da

    Thunderbird 68

    Vom bis gestern aktuellen Thunderbird 60 zum jetzt erschienenen Thunderbird 68 ist es ein großer Versionssprung. Aber die Entwickler des beliebten Mail-Clients haben auch genügend Neues und Verbessertes eingebaut, um das zu rechtfertigen. Thunderbird versucht, sich mit zusätzlicher Funktionalität gegen die allgegenwärtigen Webmailer zu behaupten. Von den großen Baustellen, die die Entwickler in diesem Jahr angehen wollen, ist allerdings noch keine umgesetzt worden.

    WebExtensions sind Pflicht

    Die Liste der Neuerungen und Änderungen sowie der bereinigten Fehler ist diesmal länger als gewöhnlich. Die wichtigste und zugleich vermutlich kritischste Änderung betrifft die Erweiterungen. Mit Version 68 unterstützt Thunderbird, wie Firefox schon seit längerem, nur noch das neue Format WebExtensions. Das bedeutet, dass noch nicht umgestellte Erweiterungen nicht mehr funktionieren. Das gilt gleichermaßen auch für Themes und Wörterbücher.

    Dateianhänge leichter versenden

    Verbesserungen bietet Thunderbird 68 auch beim Versenden von Anhängen. Bereits im Vorgänger war WeTransfer integriert, um große Dateianhänge zu versenden. Dies funktioniert nun dank der neuen FileLink WebExtension-API auch wieder per Dropbox und weiteren ähnlichen Diensten. Damit das klappt, muss lediglich die jeweilige Erweiterung installiert werden. Zusätzlich können kürzlich verwendete Anhänge nun aus einem Pulldown-Menü ausgewählt werden.

    Als gelesen markieren erleichtert

    Ordner können nun leichter als gelesen markiert werden. So können etwa alle Ordner eines Accounts mit einem Klick mit diesem Attribut versehen werden. Filter lassen sich zeitgesteuert automatisch ausführen. Zudem wurde die Filterprotokollierung verbessert. TCP Keepalive funktioniert jetzt auch für das IMAP-Protokoll. Im Chat kann nun für jede Unterhaltung eine individuelle Rechtschreibprüfung ausgewählt werden. Viele weitere Änderungen können den Release Notes entnommen werden.

    Keine Updates verfügbar

    Thunderbird 68.0 wird laut Mozilla nur als direkter Download von thunderbird.net angeboten und nicht als Upgrade von Thunderbird Version 60 oder früher. Eine zukünftige Version 68.1 wird Updates von früheren Versionen bereitstellen. Wenn Lightning, das Kalender-Add-on von Thunderbird, installiert ist, wird es automatisch an die neue Version von Thunderbird angepasst.

  • Pläne für Thunderbird 2019

    Thunderbird 2019
    Logo: Mozilla Lizenz: CC BY-SA 3.0

    Die Mozilla Foundation klärt in ihrem Blog über die Pläne für dem Mail-Client Thunderbird für das neue Jahr auf. Demnach soll zum Jahresbeginn die Zahl der voll beschäftigten Mitarbeiter von 8 auf 14 erhöht werden. Weiterhin steht, analog zu Firefox, die Umstellung auf eine Multi-Prozess-Architektur auf dem Plan.

    Spendenaufkommen gestiegen

    Die Aufstockung der festen Mitarbeiter um gleich sechs Köpfe wird durch das gestiegene Spendenaufkommen ermöglicht, wobei Individualspenden den Löwenanteil ausmachen. Die neuen Mitarbeiter werden überwiegend an der Codebasis arbeiten. Jeweils einer der Neuankömmlinge wird sich aber speziell um das Oberflächendesign und um den Schutz der Privatsphäre der Anwender kümmern.

    Multi-Prozess-Architektur

    Durch die Arbeit an der Umstellung auf eine Multi-Prozess-Architektur versprechen sich die Entwickler eine verbesserte Performance des beliebten Mail-Clients. Dazu müssen Teile der Codebasis neu geschrieben werden. Darüber hinaus soll an mehreren Stellen die Integration verbessert werden. Das soll unter anderem Google Mail betreffen. So sollen GMail-Label sowie weitere spezielle Features von GMail in Thunderbird unterstützt werden.

    Auch das Benachrichtigungssystem soll aufgewertet werden, indem die Integration mit dem System des jeweiligen Betriebssystems verbessert wird. Dadurch soll der Anwender ein natürlicheres Erlebnis erfahren, gleichzeitig wird die Handhabung seitens Thunderbird vereinfacht.

    Verschlüsselung vereinfachen

    Die Benutzerschnittstelle in Sachen Verschlüsselung soll 2019 ebenfalls überholt werden. Damit soll eine dringend benötigte Vereinfachung herbeigeführt werden, die mehr Anwender befähigt, E-Mails auf einfache Art zu unterschreiben oder zu verschlüsseln. Auch die Einstellungsdialoge sollen vereinfacht und besser überschaubar werden.

    Viel zu tun

    Das wird vermutlich nicht alles in einem Jahr zu schaffen sein, jedoch soll gleich zu Jahresbeginn mit der Umsetzung an allen Brennpunkten begonnen werden. Derzeit aktuell ist der im August 2018 veröffentlichte Thunderbird 60. Da sich Thunderbird für seine Veröffentlichungen locker an Firefox ESR anlehnt, steht das nächste Release in Form von Thunderbird 68 im Juli 2019 an. Wer Thunderbird finanziell unterstützen möchte, kann dies auf der Spenden-Webseite von Mozilla tun.

  • Thunderbird 60 von Mozilla veröffentlicht

    Logo: Mozilla Lizenz: CC BY-SA 3.0

    Der beliebte E-Mail-Client Thunderbird hat eine Aktualisierung auf Version 60 erhalten, die viele wichtige Änderungen mit sich bringt. Die wichtigste dieser Änderungen betrifft Erweiterungen und Themes, die künftig die WebExtensions-APIs unterstützen müssen. Das bedeutet, dass nun auch bei Thunderbird, wie schon bei Firefox Quantum standardmäßig nur noch Erweiterungen installiert werden können,  die dem neuen Standard entsprechen.

    WebExtensions auch bei Thunderbird 60

    Die alten XUL-basierten Erweiterungen werden deaktiviert oder lassen sich erst gar nicht mehr installieren. Allerdings gibt es auch hier eine Übergangsfrist, während derer diese Vorgabe übergangen werden kann. Dazu geht man unter Bearbeiten – Einstellungen auf die Registerkarte Erweitert und dort unten auf Konfiguration bearbeiten. Daraufhin öffnet sich, was wir bei Firefox als about: config kennen. Nach Eingaben von extensions.strict kann der Wert durch Doppelklick auf die Zeile von true auf false gesetzt werden.

    Thunderbird 60
    Noch lässt sich die Vorgabe zu WebExtensions übergehen

    Zeitweiliger Workaround

    Daraufhin sollten die meisten Erweiterungen wieder aktivier- bzw. installierbar sein. Wie lange diese Möglichkeit besteht, ist jedoch unbekannt. Die Kompatibilität von Erweiterungen mit Thunderbird 60 lässt sich auch vorab überprüfen. Erst kürzlich erhielt Thunderbird hierzu eine eigene Webseite, auf der die Kompatibilität von allen verfügbaren Erweiterungen angegeben wird.

    Bei der Optik erfuhr Thunderbird 60 eine Modernisierung. So werden neben dem Standard-Theme eine Light- und eine Dark-Variante mit ausgeliefert. Ansonsten sind nun auch Themes nach dem neuen Standard WebExtensions installierbar. Das Logo von Thunderbird wurde ebenfalls modernisiert.

    Aufwertung an vielen Stellen

    Der Kalender wurde ebenfalls aufgewertet und erlaubt es, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auch wiederkehrende Ereignisse lassen sich nun kopieren, ausschneiden und löschen.

    Beim Verfassen von E-Mails können bereits eingetragene Empfänger einzeln wieder entfernt werden, wenn sich die Maus über dem entsprechenden Feld befindet. Das Menü für Anhänge ist an den rechten Rand des Fensters gerückt und wurde um die Möglichkeit erweitert, bereits eingestellte Anhänge per Dialog, Tastatur oder Drag&Drop zu sortierern.

    Thunderbird 60
    Thunderbird 60 mit neuem Dialog für Anhänge

    Sicherheit verbessert

    Bei der Sicherheit wurde OAuth2-Authentifizierung- für Yahoo und AOL hinzugefügt. Zudem wird generell FIDO U2F unterstützt. Als experimentelle Funktion können Ordner von mbox nach maildir und zurück konvertiert werden. Dazu muss in den Einstellungen wie bereits oben beschrieben der String mail.store_conversion_enabled gesetzt werden. Alle weiteren Änderungen bei Thunderbird 60 können den Release Notes entnommen werden.

     

  • Thunderbird 52.8.0 dämmt EFAIL ein

    Bild: Efail | Lizenz: Lizenz: CC0 1.0

     

    Am 18. Mai stellte Mozilla eine neue Version des E-Mail-Clients Thunderbird bereit. Thunderbird 52.8.0 beseitigt mehrere Sicherheitslücken, unter anderem auch in Bezug auf das Auslesen verschlüsselter E-Mails durch EFAIL. Ein Bug, der erst in der nächsten Version behoben werden wird, ist das weiterhin mögliche Darstellen mehrerer Teile einer Mail in einem einzigen HTML-Kontext. Damit besteht weiterhin die Gefahr einer direkten Exfiltration, bei der sich ein Angreifer durch Manipulation recht einfach den Inhalt verschlüsselter Mails übersenden lassen kann.

    Direkte Exfiltration

    Um einen Exfiltrations-Rückkanal zu erstellen, benötigt der Angreifer zunächst Zugriff auf die verschlüsselten E-Mails, etwa durch Abhören des Netzwerkverkehrs, durch Eindringen in E-Mail-Konten, E-Mail-Server oder Client-Computer. Der Angreifer manipuliert eine verschlüsselte E-Mail in einer bestimmten Weise und sendet diese geänderte verschlüsselte E-Mail an das Opfer. Der E-Mail-Client des Opfers entschlüsselt die E-Mail und lädt die manipulativ eingefügten externen Inhalte, wodurch der Klartext an den Angreifer weitergegeben wird.

    Externe Inhalte derzeit meiden

    Das funktioniert bei Thunderbird aber nur, wenn der Anwender selbst die Funktion zum Nachladen externer Inhalte aktiviert hat. Die ist bei Thunderbird von Hause aus deaktiviert. So rät Mozilla dann auch, falls verschlüsselte Mails nachfragen, ob sie externe Inhalte nachladen sollen, dies zurzeit unbedingt zu verneinen. In jedem Fall sollte möglichst zeitnah Thunderbird 52.8.0 installiert werden. Bis zur nächsten Thunderbird-Version 52.8.1 sollten Anwender  auf alle Fälle Vorsicht walten lassen, falls Mail-Verschlüsselung per PGP oder S/MIME verwendet wird. Wann mit Entwarnung durch Thunderbird 52.8.1 zu rechnen ist, hat Mozilla noch nicht erklärt. Standardmäßig wäre das nächste Release erst am 26.6.

  • Mozilla Thunderbird 60 als Beta verfügbar

    Logo: Mozilla Lizenz: CC BY-SA 3.0

     

    Mozilla Thunderbird 60 wird auch den letzten Zweifler überzeugen, dass der weit verbreitete E-Mail-Client nicht ausentwickelt ist, wie das Mozillas Michelle Baker vor Jahren behauptet hatte. Das war einer der Gründe, warum Mozilla sich von Thunderbird zurückziehen wollte. Heute nutzt Thunderbird zwar noch Mozillas Infrastruktur, wird aber ansonsten von einem unabhängigen Entwicklerteam betreut.

    Lange wurde dementsprechend Thunderbird lediglich gepflegt anstatt weiter entwickelt. Das damit seit einiger Zeit Schluss ist, belegt auch die jetzt erschienene Beta-Version zu Thunderbird 60. Nachdem die optische Erneuerung in den Händen eines Design-Teams liegt, sind im Dezember 2017 vier neue Entwickler zum Team gestoßen.

    Empfänger entfernen

    Thunderbird 60 zeigt beim Überfahren des Empfänger-Felds der Adresseingabe eine Entfernen-Schaltfläche in Form eines X, sodass bereits eingetragene Empfänger mit einmem Klick wieder entfernt werden können. Zudem wird bei der Adresseingabe der bereits eingegebene Teil einer Adresse aus einem Adressbuch fett angezeigt. Der Tastenkürzel ALT-M zeigt während der Erstellung einer Mail das Eingabefeld für Anhänge.

    Mbox oder Maildir

    Ordner können nun vom Mbox-Format nach Maildir und zurück konvertiert werden. Diese Funktion ist derzeit allerdings noch im experimentellen Stadium. Zudem bietet Thunderbird 60 an, IMAP-Ordner zu komprimieren, auch wenn das Konto online ist. Auch die Kalender-Komponente wurde aufgewertet. So können einzelne oder mehrere Einträge kopiert, ausgeschnitten oder entfernt werden. Zudem ist es möglich, Orte für Kalenderereignisse sowohl in der Tages- als auch in der Wochenansicht anzuzeigen.

    Die Kalender-Komponente bietet zudem nun auch die Möglichkeit, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auf der Seite mit den Release Notes kann Thunderbird 60 Beta heruntergeladen werden.

  • Mozillas Passwort-Manager unsicher

    Screenshot: ft

     

    Sowohl Firefox als auch Thunderbird erlauben es Benutzern, in den Einstellungen ein »Master-Passwort«  einzurichten. Dieses Master-Passwort dient der Verschlüsselung von Passwörtern, die in den Anwendungen vom Nutzer gespeichert werden. Generell ist diese Methode unterhalb der von ausgewachsenen Passwort-Managern angesiedelt, aber immer noch besser als keine Passwortverwaltung und daraus meist resultierend, die Mehrfachverwendung einfach zu merkender Passwörter.

    Mozilla Passwort-Manager unsicher

    Wie sich jetzt herausstellte, ist diese Funktion bei den Mozilla-Produkten nur sehr schlecht abgesichert und für jeden Hacker, der jemals den Begriff Brute-Force gehört hat, ein Kinderspiel. Das entdeckte jetzt Wladimir Palant, Entwickler der Adblock-Erweiterung. Herzstück der Verschlüsselung bei Mozilla ist die Funktion  sftkdb_passwordToKey(), die ein Passwort in einen Schlüssel umwandelt, indem es SHA-1-Hashing auf einen String anwendet, der aus einem zufälligen Salt und dem Master-Passwort besteht.

    SHA-1 zum Hashen

    Dieser Ansatz mit SHA-1 und die Implementierung seitens Mozilla hat zwei gewichtige Probleme. Zunächst ist SHA-1 bereits seit 2005 als gebrochen bekannt, wie der Kryptographieexperte Bruce Schneier damals in seinem Blog schrieb. Allerdings rechtfertigte damals der nötige Aufwand die Kosten nicht.

    2017 gelang Forschern bei Google und aus den Niederlanden erstmals ein Kollisionsangriff, bei dem zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash erzeugt wurden. Seit 2015 gilt generell die Empfehlung, von SHA-1 auf die Nachfolger SHA-2 und SHA-3 zu wechseln, da es sich durch günstige Rechenkraft mittlerweile durchaus lohnen kann, SHA-1 zu knacken.

    Nur eine Iteration

    Das zweite Problem bei Mozillas Master-Passwort ist, das SHA-1 bei der Erzeugung des Schlüssels genau einmal iteriert. Branchenüblich sind hier Werte zwischen 10.000 und 500.000 Iterationen, je nachdem, was verschlüsselt wird. Das ist grob vergleichbar mit einem Paket, das nur einmal mit Geschenkpapier umwickelt ist, es ist schnell ausgepackt. Mit der Zahl der Lagen steigt auch der Aufwand des Entpackens.

    Bugreport mit Bart

    Nun hat Mozilla seit neun Jahren einen entsprechenden Bugreport vorliegen, dessen Brisanz unverständlicherweise niemand realisiert hat. Dabei ist SHA-2 bereits seit 2001 standardisiert. Mittlerweile kommt durch die Berichterstattung  auf BleepingComputer und der Diskussion auf Reddit wieder Leben in den Bugreport und die Mozillianer fragen sich, wie das passieren konnte. Nun wird hoffentlich schnell eine Lösung erarbeitet, die dieses Problem aus der Welt schafft.

  • Thunderbirds neue Kleider

    Logo: Mozilla Licence: CC BY-SA 3.0

     

    Der E-Mail-Client Thunderbird ist in die Jahre gekommen. Das sieht man vor allem am etwas altbackenen Design. Im Verlauf des Jahres 2016 machte sich die polnische Designfirma Monterail daran, Mozillas E-Mail-Client ein neues Gesicht zu verpassen. Die Mockups fanden damals breite Verteilung, die Reaktionen waren zunächst zweigeteilt, am Ende überwog allerdings die Zustimmung zu der Design-Änderung. Das Team lernte daraus nach Aussagen von Krystian Polański, einem der Designer allerdings, dass ein akzeptables neues Design eine Gratwanderung zwischen dem jetzigen Design und einem moderneren Look sein muss.

    Waren die Mockups von Monterail nur zum Anschauen, setzte ein Anwender die Idee als benutzbares Theme auf GitHub um und fand damit großen Anklang. Thunderbird-Entwickler Richard Marti packte dies zu einem Add-on zusammen, dass aus Thunderbird heraus installierbar ist. Seit einigen Monaten herrscht reger Austausch von E-Mails zwischen Monterail und den Thunderbird-Entwicklern, um Fehler auszubessern und neue Ideen zu diskutieren.

     

    Da es schwer ist, es bei einem solchen Re-Design allen 26 Millionen Anwendern von Thunderbird unter Linux, Windows und macOS recht zu machen kam schließlich der Punkt, wo es Zeit war, die Anwender inm bester Open-Source-Manier mit einzubeziehen. Immerhin geht es dabei nicht nur um das Aussehen, sondern auch um die Bedienbarkeit der Anwendung. Somit wurde jetzt eine Umfrage gestartet, deren Ergebnisse die Grundlage weiterer Design-Änderungen sein wird. Bis zum 6. Februar können Anwender Lob und Kritik an Thunderbird loswerden bevor es an die Auswertung geht. Danach wollen die Designer eine Roadmap aufstellen, nach der in den folgenden Monaten die Ergebnisse umgesetzt werden.

    In den ersten Kommentaren der Ankündigung  herrscht Kritik sowohl an der Design-Änderung als auch an der Gestaltung der Umfrage selbst vor. Ein Kommentator erhofft sich einen Fallback um gegebenenfalls zum alten Design zurückkehren zu können. Ein weiterer Einwurf betont, die wirklichen Probleme von Thunderbird lägen im Code, nicht im Design und verweist auf die bei Firefox mittlerweile entfernte Abhängigkeit von XPCOM und XUL. Auch auf Hacker News gehen die Kommentare in diese Richtung. Es bleibt also weiterhin spannend.