Re: HTML-Mails

To: debian-user-german@lists.debian.org
Subject: Re: HTML-Mails
From: Martin Steigerwald <Martin@lichtvoll.de>
Date: Mon, 27 Feb 2012 22:26:09 +0100
Message-id: <[🔎] 201202272226.09571.Martin@lichtvoll.de>
In-reply-to: <[🔎] 4F4B4D55.30400@david-raab.de>
References: <[🔎] 4F4A6614.4080509@mailc.net> <[🔎] 20120227091552.GE7214@artcom0.artcom-gmbh.de> <[🔎] 4F4B4D55.30400@david-raab.de> (sfid-20120227_111438_956499_32A673BC)

Am Montag, 27. Februar 2012 schrieb David Raab:
> > Meiner Meinung nach überwiegen die Sicherheitsprobleme von HTML
> > E-Mails die Vorteile,
> 
> Und welche Sicherheitsprobleme hat so eine Markup-Sprache wie HTML? Du
> nutzt bestimmt auch kein Webbrowser der HTML kann?

Eine gute Frage, wie ich finde:

KMail zeigt HTML-Mails standardmäßig etwas im nicht gerenderten HTML-
Quelltext an. Mit folgendem Hinweis:

"Hinweis: Dies ist eine Nachricht im HTML-Format. Aus Sicherheitsgründen 
wird nur der unformatierte HTML-Quelltext angezeigt. Falls der Absender 
vertrauenswürdig ist, aktivieren Sie die formatierte Anzeige, indem Sie 
hier klicken."

Wäre mal interessant zu überlegen, warum? Was hat sich der dafür 
verantwortliche KMail-Entwickler oder die dafür verantwortlichen 
Entwickler, es könnten ja auch mehrere sein, dabei gedacht?

Wesentliche Frage wäre hier: Was wertet der im Mail-Client verbaute HTML-
Anzeiger alles aus? Und wie sieht es mit Javascript aus? Ist es ein- oder 
ausgeschaltet? Ich denke mir, oft kommen mittlerweile Standard-HTML-
Engines wie Webkit zum Einsatz. Und da wäre zu klären, was die alles für 
Tags auswerten und wie es mit Javascript aussieht.

Javascript sollte ausgeschaltet sein - ich gehe davon aus, dass das jeder 
vernünftige Mail-Client so macht, aber geprüft habe ich es nicht. Und auch 
sonst weiß ich nicht, ob jegliche HTML-Befehle unbedenklich sind. Ich 
würde mich wohler fühlen, wenn nur ein limitierter Satz von HTML-Befehle 
zugelassen ist. Andererseits macht das ein Webbrowser so erstmal auch 
nicht.

Desweiteren zeigen viele Mail-Clients - standardmäßig auch KMail - 
(externe) Bilder nicht an. Und da sehe ich tatsächlich ein ernsthaftes 
Sicherheitsproblem wg. Image-Links mit Identifikationsmerkmalen z.B.


So oder so ist ein Hin und Her aka

  · Aka es gibt (nicht näher benannte) Sicherheitsprobleme.
  · Ich lebe mit HTML-Mails doch auch noch.
  · Es gibt Sicherheitsprobleme.
  · Aber die sind nicht relevant.

vollkommen sinnlos, solange da keiner von euch konkreter wird.

Daher finde ich die Frage von David gut.

-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7

Reply to:

Follow-Ups:
- Re: HTML-Mails
  - From: David Raab <debian@david-raab.de>

References:
- HTML-Mails (Was: Es ist so ruhig hier...)
  - From: Holger Posny <list@mailc.net>
- Re: HTML-Mails
  - From: Peter Funk <pf@artcom-gmbh.de>
- Re: HTML-Mails
  - From: David Raab <debian@david-raab.de>

Prev by Date: Re: HTML-Mails
Next by Date: Re: HTML-Mails (Was: Es ist so ruhig hier...)
Previous by thread: Re: HTML-Mails
Next by thread: Re: HTML-Mails
Index(es):
- Date
- Thread