Magazin [UPDATE] Outlook for iOS: Microsoft veröffentlicht kostenloses E-Mail-Programm

[Lerendy]

Das eigentliche Problem ist, dass dieses Verhalten von Apple erzwungen wird. Microsoft hat kaum eine andere Möglichkeit.

Apps müssen den Push Dienst von Apple nutzen wenn sie eine Funktionalität wie Push, was für Mails, Kalender und Termine einfach eine essenzielle Funktion darstellt, umsetzen zu können. Damit Microsoft diesen Apple Push aber anschubsen kann, müssen die MS Server wissen dass auf einem der Drittanbieter Accounts was pushwürdiges vorhanden ist und das geht nur, indem der Server die Accounts selber abfragt. Im Klartext werden sie dabei sicher nicht gespeichert. Besser wäre es, wenn MS OAuth nutzt wo immer es geht.

Der Datenschutztechnische bessere Weg, dass ein IPhone selbst Verbindungen mit Servern halten kann, wird nicht nur nicht unterstützt sondern Apple geht aktiv im Store wegen Verletzung der Designrichtlinien gegen diese Apps vor.

Willkommen bei Apple.

Meine Daten bei MS ist mir jedenfalls lieber als bei den Alternativen wie Dropbox oder auch mal ein russischer Anbieter wie bei MyMail. Die Arbeiten alle nach diesem System, weil es, wie schon geschrieben, von Apple erzwungen wird.

 

[Scotch]

Die wortgewaltingen Fanboys nehmen bei AT langsam aber sicher überhand.

Würdet ihr ganzen Datenschutz-Schreihälse euch bitte mal genau so ausführlich über die Apple-Dienste und deren Funktionsweise sowie Daten"schutz"bestimmungen informieren, wie ihr das anscheinend mit MS-Diensten tut? Insbesondere die iCloud-Synchronisation von Mail- und Accountdaten ("Schlüsselbund") ist da sicherlich den einen oder anderen Kommentar wert, oder? Der Vollständigkeit halber: iCloud wird von unserer IT komplett blockiert - und das sicher nicht wegen iTunes in der Cloud.

Für die ganzen "Proxies" sei allen Datenschutz"experten" die Verwendung einschlägiger Analysetools empfohlen - und dann ml nachzählen, wieviele hops über Apple-Server laufen und wieviele über Microsoft. Warum? Siehe u.a. #61. Oder die einschlägige Entwickler-Doku - damit es nicht zu kompliziert wird, hier als Video.

 

[johnnybpunkt]

Ach Mann, für sowas haben sie Zeit und Geld, aber Office für Mac verschieben sie immer weiter nach hinten...

 

[C_H_R_I_S_U]

Das eigentliche Problem ist, dass dieses Verhalten von Apple erzwungen wird. Microsoft hat kaum eine andere Möglichkeit.

Und weil Apple so böse ist und Microsoft deshalb so verwirrt war, machen sie auch einfach mal das gleiche bei Android-Geräten. Dort werden auch alle Daten über die MS-Server geschleust. Siehe Artikel bei Heise.

Und auch wenn es so wäre, dass es durch technische Gründe so gemacht werden müsste, dann gehört sowas nicht in die Datenschutzbestimmungen (die kaum einer lesen wird) sondern direkt zur Anmeldung der Accounts. Dort muss ein klarer Hinweis stehen, dass meine Daten wegen technischen Gründen über MS-Server geleitet wird. Alles andere hat einen sehr faden Beigeschmack. Und da ist mir egal ob der Anbieter MS, Apple oder XYZ ist.

 

[Adelar3x]

Ich würde von der App dringend abraten.
Heute kam eine Warnung von unsere IT-Abteilung:


Sehr geehrte Damen und Herren


Gestern hat Microsoft eine neue Applikation im Store von Apple und Android herausgegeben: „Outlook for iOS“ resp. „Microsoft Outlook Vorschau“

Zum aktuellen Zeitpunkt möchten wir Ihnen dringend davon abraten, diese Applikation zu verwenden!

Auf dem zentralen Mailserver der Informatikdienste haben wir die Verwendung der Applikation bereits blockiert.


Die Software verbindet sich nicht direkt mit dem Mailserver an der ETH, sondern leitet den gesamten Verkehr über eine Reihe von Proxy-Servern in den USA. Das heisst, ihre Anmeldeinformationen (Username und Passwort) sowie ihre Maildaten werden auf diesen Servern zwischen gespeichert. Dies ist zwar in den Datenschutzrichtlinien der Applikation beschrieben, es wird aber versäumt, beim Einrichten des Mailaccounts explizit darauf hinzuweisen.


Sollten Sie die „App“ bereits installiert und ihre Mailbox konfiguriert haben, löschen Sie bitte die Software und ändern Sie ihr Mailpasswort: https://www1.ethz.ch/id/servicedesk/guide/change_pw/index


Zusätzliche Informationen zu dem Problem finden Sie unter den folgenden Links:

http://www.heise.de/newsticker/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html?wt_mc=rss.ho.beitrag.rdf

http://www.msxfaq.de/mobil/outlook4ipad.htm

Jede Mail auch an deinen Sitznachbaren geht erst mal auf Weltreise um den Globus und wird da an hunderten verschiedenen Punkten mitgelesen, gespeichert, analysiert etc. Die Klartextspeicherung des Passwortes ist blöd, aber noch blöder ist wer sicherheitsrelevante Infos in unverschlüsselten Mails verschickt...

 

[Adelar3x]

Siehe u.a. #61. Oder die einschlägige Entwickler-Doku - damit es nicht zu kompliziert wird, hier als Video.

Weshalb schreibt der Typ konsequent "poll" statt "pull"?!

 

[Lerendy]

Weil Poll vermutlich das passende Wort ist. Bei einem Push meldet sich der Server beim Client. Ansonsten muss der Client auf Verdacht immer Anfragen ob eine Nachricht für ihn vorliegt. Dabei lädt er ja nicht zwangsläufig direkt die Nachrichten runter sondern der erste Schritt ist die Abfrage ob was vorliegt. Solche Anfragen werden Polling genannt.

 

[nomos]

So, heute ging dann auch eine Warnung an unsere Kunden raus, Outlook für iOS oder Android nicht zu benutzen.

Ist es schon installiert, sollten sie es besser löschen und, ganz wichtig, das Kennwort des Mailaccounts ändern.

 

[Martin Wendel]

Und warum nur Outlook für iOS und keine der zahlreichen anderen Mail-Apps im App Store, die genau dasselbe machen?

 

[nomos]

Und warum nur Outlook für iOS

Weil 99% unserer Nutzer aus Mangel an Alternativen zu Outlook, die in iOS integrierte Mail.app von Apple nutzten.

Jetzt, wo die vermeintliche Alternative zur Verfügung steht, warnen wir lieber.

 

[Scotch]

Dann daran denken alle Kunden auch zu warnen, dass sie die iCloud-Synchronisation des Schlüsselbunds abschalten. Aber das habt ihr sicher schon längst gemacht, denn damit liegen ja alle Credentials auf Apples Servern und nicht etwa nur die für Exchange.

Wo ist eigentlich die Primärquelle dafür, dass Outlook für iOS Exchange-Kontodaten unverschlüsselt überträgt? Das ist m.W. je nach AS Profil gar nicht möglich?!

 

[nomos]

Dann daran denken alle Kunden auch zu warnen, dass sie die iCloud-Synchronisation des Schlüsselbunds abschalten.

Naja, wir warnen halt von Herstellerseite her, was die Anbindung an unseren Mailserver betrifft.

Die iCloud-Schlüsselbundproblematik rückt bei den Kunden nicht so in den Fokus, wie wenn es um ein E-Mail-Programm geht. Bei der iCloud-Synchronisation sollte es aber auch klar sein, dass da etwas in der Wolke, sprich Drittservern, abgelegt wird.

Bei einem Mailprogramme erwartet man eher, dass es direkt mit dem angebundenen Mailserver spricht.

 

[Scotch]

Na super. Die (vermeintlichen) Sicherheitsprobleme sind zwar die gleichen, aber da es "nicht so in den Fokus" rückt und Kunden es bei einem Mailserver "eher erwarten" warnt man mal besser...

Kunden die mit iCloud-Schlüsselbund auf euren Mailserver zugreifen sind den gleichen Risiken ausgesetzt, wie jemand der Outlook für iOS benutzt - warnt die gefälligst auch.

Diese künstlichen Konstrukte warum es in Ordnung ist mit zweierlei Mass zu messen wenn es gegen Microsoft geht sind echt nicht mehr auszuhalten!

Ich würde mich auch freuen, wenn mir irgendwer mal Ross und Reiter nennt, wieso es überhaupt ein Problem sein soll, wenn Exchange-Anmeldedaten über einen MS-Proxy laufen. Schon mal geguckt, über wie viele Proxies und GWs eure Anmeldedaten bei einem stinknormalen "direkten" login zu einem Mailserver laufen?

 

[nomos]

Da muß ich dir widersprechen:

Zwar mag es sein, dass die Anfrage an den Mailserver über mehrere Zwischenstationen geht, aber der Inhalt und die Logindaten werden NICHT, wie es das Outlook für iOS und Android macht, komplett auf einem Drittserver zwischengespeichert, wenn du zB die iOS eigene Mail.app nimmst.

Und das hat mitnichten etwas mit einer Anti-Microsoft Haltung zu tun.

 

[Scotch]

aber der Inhalt und die Logindaten werden NICHT, wie es das Outlook für iOS und Android macht, komplett auf einem Drittserver zwischengespeichert,

Nochmal: Bitte eine Primärquelle dafür nennen - ich hab' das jetzt auch schon x-Mal gehört, aber woher kommt die Weisheit?

 

[nomos]

https://www.acompli.com/privacy-policy/

und such nach "We provide a service that indexes and accelerates delivery of"

Der nächste große Absatz nach (2).

Zusätzliche Quellen:
http://www.theregister.co.uk/2015/01/30/dev_finds_bleak_security_outlook_for_ios_app/

 

[nomos]

Hier der entscheidende Absatz als Zitat aus den Nutzungsbedingungen:

We provide a service that indexes and accelerates delivery of your email to your device. That means that our service retrieves your incoming and outgoing email messages and securely pushes them to the app on your device. Similarly, the service retrieves the calendar data and address book contacts associated with your email account and securely pushes those to the app on your device. Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device. If your emails have attachments and you request to open them in our app, the service retrieves them from the mail server, securely stores them temporarily on our servers, and delivers them to the app.

 

[Scotch]

Und hier der entscheidende Teil, was unter "securely" verstanden wird:

1.2 At Rest Security
100% of Acompli user data is encrypted at rest using hardware-accelerated strong cryptography.

1.3 User data isolation
Each individual user’s data set is isolated with multi-level permission checks. Every API call for data access within Acompli system requires proprietary auth tokens with tamperproof design.

Quelle: https://www.acompli.com/security/

Also wo ist das Problem?

 

[nomos]

Du willst es nicht verstehen, oder?

Es geht darum, das Drittserveranbieter zur Datenzwischenspeicherung genutzt werden von Outlook für iOS/ Android, statt sich DIREKT mit dem entsprechenden Mailserver zu verbinden.

 

[ullistein]

Für Outlook gibt es ein Update, es beherrscht jetzt imap.