Связка GPG и Gmail на OS X Mavericks сохраняет черновики сообщений в незашифрованном виде.

Если вы отправляете шифрованные сообщения с помощью Mail на OS X Mavericks, вам стоит знать, что сообщения могут сохраняться на почтовом сервере в виде обычного текста. Пользователи Mac-версии приложения GPG стали замечать такую неприятность при пользовании сервисом Gmail еще в октябре прошлого года. Деактивированные в настройках клиента пункты “Хранить черновики на сервере” и “Хранить отправленные сообщения на сервере” волшебным образом снова включались.

На днях один из специалистов по компьютерной безопасности обнаружил несколько входящих писем, зашифрованных при помощи GPG, в папке черновиков своего аккаунта Gmail. Выяснилось, что исходное сообщение автоматически сохранялось там каждый раз после клика на кнопке “Ответить” в форме цитаты, расположенной после написанного в ответ сообщения. Как и большинство вовлеченных в проблему пользователей, он настраивал программу так, чтобы при работе с Gmail по протоколу IMAP сообщения не сохранялись. Однако, все снятые галки необъяснимым образом самостоятельно возвращались на место.

“Многие люди не используют браузер для доступа к Gmail”, поясняет исследователь. “Они просто настраивают доступ к сервису по протоколу IMAP. Так случилось, что у меня работал почтовый клиент и в то же время был запущен браузер с интерфейсом Gmail. В обычной ситуации большинство людей просто не имеют возможности узнать о самом факте существования бага.”

Он подтвердил, что конфуз происходит только в случае одновременного сочетания следующих факторов: Mac OS Mavericks, клиент Mail, сообщение зашифровано при помощи GPG и сервис Gmail с доcтупом по протоколу IMAP. Разработчики GPG добавили, что похожая проблема была замечена в 2009 году на Mac OS Snow Leopard, и Gmail тогда оказался единственным почтовым сервисом, подверженным этой ошибке. В социальных сетях были замечены высказывания о том, что другие сервисы на протоколе IMAP тоже “отметились”, но доказательств никто не предоставил.

Настройки Gmail

По счастью, для этой дыры существует простая “заплатка”. Нужно всего лишь изменить некоторые настройки аккаунта Gmail и клиента Mail. Порядок действий таков:

  1. Убедиться, что приложение Mail не запущено.
  2. Войти в свой аккаунт Gmail c помощью браузера.
  3. Нажать в правом верхнем углу интерфейса кнопку с изображением шестеренки и в выпавшем меню выбрать пункт “Настройки”.
  4. В открывшемся окне выбрать вкладку “Ярлыки”. В списке Системных ярлыков найти строку “Черновики”, выбрать в ней “да, если есть непрочитанные” и снять галку в пункте “Показать в IMAP”.
  5. Настройка ярлыков Gmail

  6. Запустить Mail и открыть настройки программы. Найти вкладку “Учетные записи”.
  7. Выбрать в списке слева нужный аккаунт и ткнуть во вкладку “Почтовые ящики”.
  8. Убрать галку в пункте “Хранить черновики на сервере”.
  9. Закрыть окно настроек и подтвердить сохранение изменений.

Настройки Mail

Этот способ многими пользователями был отмечен как надежно работающий. Тем не менее, учитывая возрождение интереса к шифрованию личной переписки, не удивительно, что у всех участников событий сформировалось пожелание в адрес Apple – посоветоваться с Google, решить проблему и избавить своих пользователей от необходимости самостоятельно латать эту дыру.

Bookmark and Share