Re: (OT) Mailclients und Efail…

To: debian-user-german@lists.debian.org
Subject: Re: (OT) Mailclients und Efail…
From: Ulf Volmer <u.volmer@u-v.de>
Date: Thu, 24 May 2018 23:26:58 +0200
Message-id: <[🔎] 20180524212658.uzckof5prm5ju7gf@u-v.de>
In-reply-to: <[🔎] 88fdc672-8809-88e1-162e-8d91f97fa56e@gmx.net>
References: <[🔎] 20180524102640.e6a2f38067906c9756e0bf58@flohheim.de> <[🔎] 3473889.ds9gYqcNBX@merkaba> <[🔎] fmnj5sFn1erU1@mid.uni-berlin.de> <[🔎] dcead109-e944-4737-596a-546d94626ef4@ewetel.net> <[🔎] 20180524194623.c626ad5ed930bf29e75466bc@flohheim.de> <[🔎] f8531ab2-7727-4815-001a-9b124ef2c0a4@gmx.net> <[🔎] 0bb789dd-e8e0-ad00-76ad-e4c62dcba7b4@stefanbaur.de> <[🔎] 859f67c7-7494-105a-35d6-0be661bb2b76@gmx.net> <[🔎] ef2c9e71-996c-1f74-5983-6222d2f2f5ab@stefanbaur.de> <[🔎] 88fdc672-8809-88e1-162e-8d91f97fa56e@gmx.net>

On Thu, May 24, 2018 at 11:10:55PM +0200, Christoph Schmees wrote:
> Am 24.05.2018 um 22:13 schrieb Stefan Baur:
> > Eve fängt diese Nachricht ab, baut ihren bösen HTML-Code drumherum, der
> > einen unter Ihrer Kontrolle stehenden Webserver aufruft, an den dann die
> > entschlüsselte Nachricht übertragen wird. Dann trägt sie im
> > Absender-Feld wieder Alice <alice@example.com> ein und schickt die Mail
> > an Dich.
> > 
> > Da Du Alice <alice@example.com> vertraust und HTML-Mails erlaubst, wirst
> > Du die Nachricht entschlüsseln - und Eve bekommt dank des EFAIL-HTMLs,
> > das die entschlüsselte Nachricht umgibt, den entschlüsselten Inhalt auf
> > ihren Webserver geliefert.
> > 
> > TL;DR: Da das Absenderfeld beliebig manipulierbar ist, darfst Du ihm
> > nicht vertrauen.
> > 
> 
> aha, das dachte ich mir: Da haben wir uns mistverstanden. Die HTML-
> und Nachlade-Erlaubnis erteile ich ausschließlich für die besagten
> bunten Newsletter, die als nur-Text besch... aussehen.

Dann kann Eve immer noch die Absender- Adresse einer Deiner Newsletter 
verwenden. Die muß sie zwar wissen, aber da sie ja die Mail von Alice
abfangen konnte, wird sie wohl auch die Newsletter abfangen können.

Viele Grüße
Ulf

Reply to:

References:
- (OT) Mailclients und Efail…
  - From: Horst Felder <bimmelbeule@flohheim.de>
- Re: (OT) Mailclients und Efail…
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: (OT) Mailclients und Efail…
  - From: Jens-Olaf Lindermann <j.lindermann@fu-berlin.de>
- Re: (OT) Mailclients und Efail…
  - From: Dirk Paul Finkeldey <dirk.finkeldey@ewetel.net>
- Re: (OT) Mailclients und Efail…
  - From: Horst Felder <bimmelbeule@flohheim.de>
- Re: (OT) Mailclients und Efail…
  - From: Christoph Schmees <cjws@gmx.net>
- Re: (OT) Mailclients und Efail…
  - From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
- Re: (OT) Mailclients und Efail…
  - From: Christoph Schmees <cjws@gmx.net>
- Re: (OT) Mailclients und Efail…
  - From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
- Re: (OT) Mailclients und Efail…
  - From: Christoph Schmees <cjws@gmx.net>

Prev by Date: Re: webext-ublock-origin (War: Extensions für aktuellen Firefox (adblocker, noscript))
Next by Date: Re: (OT) Mailclients und Efail…
Previous by thread: Re: (OT) Mailclients und Efail…
Next by thread: Re: (OT) Mailclients und Efail…
Index(es):
- Date
- Thread