Re: HTML-Mails

[David Raab <debian@david-raab.de>]

Also HTML ist Standardmäßig ersteinmal nur eine Markup-Sprache die text
auszeichnet. XYZ soll hervorgehoben werden. Dies ist eine tabelle mit
Spalten. Dies ist eine Auflistung etc. Daher lediglich Semantik.
Grundsätzlich ist HTML kein Programmcode der Ausgeführt wird oder wo
jemand etwas einschleusen kann. Demzufolge stellt es auch erstmal keine
Sicherheitsprobleme dar. Im Grunde genommen ist es das selbe als wenn
ich. *Toll* schreibe in einer E-Mail. Nur anstatt Sternchen schreibe ich
<strong>Toll</strong>.

Natürlich kann aber trotz alledem in der Implementierung eines Parses
ein Fehler sein. Das kann aber Grundsätzlich bei jedem Programm der Fall
sein. Buffer Overflows und was es sonst noch alles gibt. Hier ist aber
nicht das Konzept "HTML" eine Schwachstelle sondern eben die
Implementierung hat einen Fehler. Da HTML aber nun schon seit etlichen
Jahren genutzt wird und es hier gerade eben die Webbrowser sehr stark
doch in Entwicklung sind gehe ich davon aus das die Engines selber
relativ Robust sind. 100% Fehlerfrei ist nie etwas. Die Lösung für das
Problem ist aber nicht deswegen etwas nicht zu nutzen, sondern seinen PC
immer aktuell zu halten. Und fehler in implementierungen können immer
vorhanden sein. So waren ja ebenfalls schon fehler in der libjpeg oder
war es libpng Bibliothek vorhanden das dazu führte das Code in Bildern
ausgeführt werden konnte. Es ist aber weiterhin nicht das vorhandensein
des Bildes eine Sicherheitslücke sondern dessen Implementierung. Umgehen
kann man das ganze nie. Auser man nutzt wie gesagt keinen Computer und
lässt ihn ausgeschaltet.

Die E-Mail Clients an sich zeigen auch Standardmäßig keine externe
Bilder an. Aber ein "Sicherheitsproblem" ist es deswegen auch nicht.
Gemacht wird es um zu verhindern das jemand erfahren kann ob man eine
E-Mail gelesen hat. Eine Sicherheitslücke ist es aber auch nicht. Der PC
wird weder kompromitiert noch wird irgendein Code ausgeführt oder
sonstiges. Natürlich kann man das ganze nicht wollen, aber genau
deswegen machen die E-Mail Clients soetwas standardmäßig nicht. Bei
Thunderbird bekomme ich einen Button mit dem Hinweis das hier externe
Bilder enthalten sind, und mit einem extra Klick kann ich sie dann doch
laden lassen.

Allerdings lässt sich das verhalten noch auf etwas anderes zurückführen.
E-Mails muss man nicht unbedingt lesen wenn man eine Internetverbindung
hat. Sondern man kann sie abrufen die Internetverbindung trennung und
dann die E-Mails lesen. Vielleicht ist das heutzutage eher seltener
geworden, aber damals noch sehr typisch das man alle E-Mails abruft,
diese dann Offline liest und nicht auf einmal wieder ein Bild abgerufen
wird und man automatisch wieder Online ging. Je nachdem wie man seinen
PC konfiguriert hatte. Ein Webbrowser der keine externe Bilder anzeigt
für ein Medium das in der Regel sowieso nur mit Internetverbindung
genutzt wird ist hier eher untypisch. Und Informationen wann man ein
Bild abgerufen hat, hat man ohnehin. Wer das nicht möchte darf gar nicht
im Web Surfen.

Problematischer wird es bei JavaScript. Einserseits ist JavaScript
natürlich Programmcode der ausgeführt wird. Nur ist JavaScript relativ
eingeschränkt. Man kann aus JavaScript heraus nicht einfach auf dem
System zugreifen. Dateien auslesen. Programme installieren oder
ähnliches. Das ganze ist in so einer Sandbox eingebettet das es all das
gar nicht erst können darf. Natürlich gibt und gab es auch hier
Sicherheitslücken. Die aber eben beseitigt werden. Allerdings gab es
auch genauso Sicherheitslücken in Virtualisierungslösungen wo man als
Gast ausbricht. Oder sie gibt und gab es auch unter Linux wo man
Root-Rechte erlangt. Spricht man deswegen aber davon das Virtualisierung
oder Linux ein Sicherheitsrisiko darstellt? Ich denke eher nein. Soetwas
sind eben Bugs und Löcher in einer Software die behoben werden (müssen).

Problematischer als JavaScript auf irgendeiner X beliebigen Webseite ist
es aber wirklich Programmcode auszuführen. Grundsätzlich ist es Risiko
hafter das jemand überhaupt irgendein Linux System nutzt oder generell
Software nutzt. Wer hat den schonmal Firefox vor dem herunterladen
wirklich geprüft? Und so ein Programm läuft danach wirklich mit
weitgehenden Rechten auf dem System. Bei JavaScript in einer extra
Sandbox hat man aber "Angst" das es etwas tut was es eigentlich gar
nicht tun kann.

Grundsätzlich ist das für mich eher der Fall das man als Mensch Risiken
falsch einschätzt und das was besonders selten vorkommt mehr Angst hat
als das was oft vorkommt.

So wird weiter geraucht. Auch wenn 150.000 Menschen alleine in
Deutschland jährlich sterben. Hat aber Angst vor der Schweinegrippe
woran 100 Menschen weltweit dran sterben. Oder man isst kein Gemüse mehr
weil gestern in der Zeitung stand das wieder einer Gestorben ist. Und
man unterhält sich darüber in der Zigarettenpause an dem Täglich 400
Menschen in Deutschland sterben darüber *das man ja gar nichts mehr
essen kann*. Aber man Freut sich auf die Feier am Wochende wo mal wieder
viel Alkohol getrunken werden, woran ja auch nur 60.000 Mensch jährlich
sterben. Und die Urlaubsplanung steht ja auch schon. Nur vorm Fliegen
hat man noch so seine Angst. Nervig nur das man so früh Morgens fliegt
und noch unausgeschlafen mit dem Auto zum Flughafen muss.

HTML und JavaScript rufen da anscheint ähnliche Ängste hervor.
Wahrscheinlich hat man vor 5 Jahren mal über eine JavaScript Lücke
gehört die dann nur im IE ging. Aber das belegt dann das HTML Böse ist
und JavaScript ist vom Teufel selber erschaffen.