[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: (OT) Mailclients und Efail…

Am 24.05.2018 um 22:13 schrieb Stefan Baur:
> Am 24.05.2018 um 21:59 schrieb Christoph Schmees:
>>>> Natürlich habe ich Thunderbird empfangsseitig so eingestellt, dass
>>>> er (außer bei bekannten Absendern, die ich explizit freigegeben
>>>> habe) *nichts* automatisch nachlädt: keine Bilder, keine sonstigen
>>>> externen Inhalte.
>>> Also brauche ich Dir nur eine Mail mit abgefangenem verschlüsselten
>>> Inhalt schicken, in die ich HTML einbette, was den entschlüsselten Text
>>> an meinen Server schickt, und ich muss nur als Absenderadresse auch
>>> wieder die des Absenders einsetzen, von dem ich die Mail abgefangen
>>> habe? Praktisch.
>>>
>> dunkel ist deiner Worte Sinn. Was willst du sagen? Wenn du einen
>> potentiellen Angriffsweg meinst gefunden zu haben, dann
>> konkretisiere ihn bitte. Dann haben wir alle etwas davon.
> 
> Wie viel konkreter brauchst Du es denn noch?
> 
> Alice <alice@example.com> schickt Dir eine Nachricht.
> PGP/GPG-verschlüsselt, mit Deinem öffentlichen Schlüssel, so dass sie
> nur mit Deinem privaten Schlüssel lesbar ist.
> 
> Eve fängt diese Nachricht ab, baut ihren bösen HTML-Code drumherum, der
> einen unter Ihrer Kontrolle stehenden Webserver aufruft, an den dann die
> entschlüsselte Nachricht übertragen wird. Dann trägt sie im
> Absender-Feld wieder Alice <alice@example.com> ein und schickt die Mail
> an Dich.
> 
> Da Du Alice <alice@example.com> vertraust und HTML-Mails erlaubst, wirst
> Du die Nachricht entschlüsseln - und Eve bekommt dank des EFAIL-HTMLs,
> das die entschlüsselte Nachricht umgibt, den entschlüsselten Inhalt auf
> ihren Webserver geliefert.
> 
> TL;DR: Da das Absenderfeld beliebig manipulierbar ist, darfst Du ihm
> nicht vertrauen.
> 

aha, das dachte ich mir: Da haben wir uns mistverstanden. Die HTML-
und Nachlade-Erlaubnis erteile ich ausschließlich für die besagten
bunten Newsletter, die als nur-Text besch... aussehen.

One-on-one Kommunikation wickle ich *immer* nur-Text ab,
verschlüsselte ohnehin.

Noch mal zum Mitschreiben:
Ich habe keine Notwendigkeit und käme *niemals* auf die Idee, in
einer *verschlüsselten* Kommunikation HTML (oder gar Nachladen von
Inhalten aus externen Quellen) zu erlauben.

Sind wir uns jetzt einig? :-)

Christoph

-- 
Bitte keine Mails von USA-Providern wie AOL, me.com (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.
Siehe <http://www.pc-fluesterer.info/wordpress/downloads>
Reply to: