Untuk G Suite User: Mencoba Gmail Confidential Mode

This article in English is available here.

Pada bulan Maret 2019 kemarin, Google mengungumkan bahwa mereka meluncurkan fitur Gmail Confidential Mode. Dari judul fiturnya udah menarik banget. :metal: Jadi menurut raksasa dunia teknologi itu, fitur ini memungkinkan pengguna G Suite mengirim email dengan masa expired (tanpa pengawet ni yeee :hammer: ). Trus penerima email juga katanya tidak bisa nge-forward, copy, print, download konten atau attachment email. Dan kerennya lagi, email yang sudah dikirim bisa di “revoke” kapan saja sama pengirim.

GILAKKKKKKKK, KEREN BANGET CUKKKK CUYYYY!! :smangat:

Gue super penasaran sama fiturnya! Gimana bisa email ga bisa di forward? Gimana caranya Google ngerevoke / ngebatalin email yang udah dikirim dan diterima sama email server lain? Yohhh… kebetulan gue ada akun, mari kita bedah. :metal:

Pertama dan Utama

Fitur ini masih beta dan bakal generally available (GA) pada 25 Juni 2019. Jadi jika pingin pake fitur ini di akun G Suite sebelum 25 juni, kita perlu admin akun G Suite buat aktifin fitur ini.

Buat enable confidential mode di G Suite, masuk ke Admin Console G Suite dan pergi ke Apps > G Suite > Settings for Gmail > User settings. Disana nanti ada opsi untuk Enable confidential mode.

End User - Pengirim

Setelah Gmail confidential mode diaktifkan oleh admin, user G Suite bisa pake fitur ini. Waktu mau kirim email, akan ada tombol (lingkaran merah pada gambar dibawah) untuk aktifin confidential mode untuk email yang lagi ditulis.

Kalau tombol itu di klik, akan muncul jendela dimana kita bisa modifikasi setting confidential mode.

Pengirim bisa nentuin berapa lama email yang mau dikirim itu bisa diakses. Juga opsi pilihan untuk pengiriman 1-time passcode untuk membuka email dikirimkan melalui email atau SMS ke nomor telepon penerima.

End Users - Penerima

Gue nyoba ngirim email confidential mode dari G Suite ke non Google email (di kasus ini gue pake email DC di cPanel). Hasilnya seperti ini waktu diakses dari mail client / webmail :

Jadi ternyata saat pengirim mengirimkan confidential message, Google mengganti mail body pesan dan attachment dengan link yang digenerate oleh Google. Gue coba cek di email header juga ga nemu header khusus yang nunjukin kalau itu adalah pesan confidential mode.

Jadi terkuak sudah kenapa pengirim bisa ngerevoke pesan email yang sudah di kirim: Email asli dan attachment tetep disimpen di servernya Google, penerima email dalam hal ini bisa dibilang hanya menerima notifikasi bahwa dia dapet email “rahasia”. Kalau mau liat emailnya, penerima email “dipaksa” buat baca email rahasia itu dari link notifikasi yang sudah dikirimkan tadi.

Ketika penerima email ngeklik link pesan tadi, tab browser baru bakal kebuka dan penerima email harus ngeklik tombol “SEND PASSCODE”. 1-time passcode ini bakal dikirim ke email penerima (atau SMS ke nomor telepon kalau pengirim pilih opsi “SMS passcode”)

Setelah passcode diverifikasi, penerima email baru bisa ngelihat dan ngebaca email aslinya.

Google Beneran Pegang Kata-katanya

Di halaman pesan yang “simple” (this page actually generate a LOTS of minified CSS & JavaScript & less HTML) itu tidak ada tombol forward. Penerima email juga tidak akan bisa ngeprint / copy konten pesan karena fitur shortcut CTRL + P untuk print dialog dan mouse click di body pesan didisable. Nyoba print pake menu browser juga ga ngaruh karena CSS body pesan sepertinya dibuat @media print { display: none !important; }, jadi ngga akan keluar apa-apa.

Hal menarik lainnya adalah ketika membuka developer console / inspect element di browser. (lihat gambar dibawah)

jadi waktu gue buka link di email confidential itu, sesi browser gue emang lagi login ke gmail pake akun gmail personal gue. Dan Google sepertinya tracking, atau paling tidak mereka tau bahwa gue punya akses (entah itu sebagai owner beneran, atau owner ‘jadi-jadian’) akun email tersebut. Ya, Google tau bahwa penerima email (dalam hal ini administrator@devilzc0de.id) ada hubungan / terhubung / ownernya sama dengan akun personal gmail gue (meskipun devilzc0de.id ga pake servicenya Google). :nohope:

Belum lagi kalau yang pengirim email ngeset “SMS passcode” untuk pengiriman passcodenya, jackpot dapet info valid email dan valid nomor telepon dan memungkinkan banget buat dimapping. Tapi ngapain juga gue pikirin, gue mah apa, bukan orang penting jadi privasi begituan bukan masalah buat gue :chaer: Namanya juga dunia digital dimana semuanya terhubung. :cerdas:

Kesimpulan

  • Menghilangkan opsi forward, copy, download atau print pesan email menurunkan resiko tersebarnya informasi rahasia ketika pesan tersebut terkirim ke orang yang salah.
  • Adalah memungkinkan untuk melindungi konten sensitif pada email dengan implementasi expires date dan authentikasi ganda melalui SMS meskipun email akun penerima terbajak / kena hack.
  • Pembatasan untuk sharing info confidential email oleh penerima email ke orang lain tidak begitu efektif karena pesan / attachment masih bisa difoto / video / screenshoot :cambuk:
  • Pesan yang diterima masih dapat didownload / diakses oleh pihak ketiga jika PC / gadget sang penerima pesan mengandung malicious programs
  • Saat berkirim pesan melalui email, subjek email seharusnya tidak mengandung konten yang sensitif.

Referensi

2 Likes

angin segar untuk koruptor wkwkkw

Keren…

:mantap:

wah kira2 yg kaya gini versi self-hostednya bakalan ada ga ya :phew: