1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Angreifer können…

Fragen zum Ablauf und Informationsgewinn für das Selbststudium

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: an0815 14.05.18 - 18:37

    Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen diese in einen RFC etc. .
    Oder das Verhalten von HTML-Mails etc. ?
    Da ich überhaupt keine Ahnung habe und wohl auch unfähig bin zu googlen würde ich mich über hilfreiche Antworten freuen.

    Danke im voraus.

    Da ich nicht soviel Ahnung, habe ist meine Frage wohl nicht ganz verständlich, aber ich hoffe es ist für jemanden möglich diese zu verstehen.

  2. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: WilliWerWolf 14.05.18 - 19:32

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie
    > sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen
    > diese in einen RFC etc. .

    Richtig! Gib in die Suchmaschine Deines Vertrauens einfach mal "email RFC" ein!. Duckduckgo nennt auf der ersten Seite schon 822, 2821 und 2822.

    > Oder das Verhalten von HTML-Mails etc. ?

    HTML-Mail ist nicht genormt.

  3. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: hab (Golem.de) 14.05.18 - 19:35

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Oder das Verhalten von HTML-Mails etc. ?

    Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    So sehr ich denke die Lücke zeigt einen Bug in der Spezifikation von S/MIME und PGP: Sie zeigt hier mit Sicherheit auch eine Lücke - und mangelhafte Klarheit - bei der Verarbeitung von HTML-Mails.

  4. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Spaghetticode 14.05.18 - 20:13

    Wie auf https://www.efail.de/ anschaulich beschrieben, wird ein HTML-Dokument um den verschlüsselten Text gebaut.

    Beispiel:
    <img src="https://www.example.com/12345/
    [verschlüsselter Text]
    ">

    Der E-Mail-Client entschlüsselt den Text:
    <img src="https://www.example.com/12345/
    [entschlüsselter Text]
    ">

    Anschließend rendert er die E-Mail und versucht, ein Bild von https://www.example.com/12345/[entschlüsselter Text] zu laden. Der Webserver speichert die ID 12345 (zugeordnet zur konkreten E-Mail) und den mitgelieferten Text und liefert ein Alibi-Bild aus.

    Den Angriff kann auch mit einem Hyperlink oder einem Formularelement durchgeführt werden.

    Ein anderer Angriffsvektor ist, den HTML-Code in den verschlüsselten Text zu „schmuggeln“, was möglich wird, wenn der Angreifer Teile vom Klartext kennt.

  5. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: freebyte 15.05.18 - 01:25

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die
    > richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind
    > nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    Mit Verlaub, aber es ist Wunschdenken dass das Problem an unzureichenden Specs liegt.

    Wenn in der E-Mail steht "Content-Type: text/html" ist der Kram als HTML zu rendern und darzustellen - da gibt es keine Definitionsprobleme.

    > So sehr ich denke die Lücke zeigt einen Bug in der Spezifikation von S/MIME
    > und PGP: Sie zeigt hier mit Sicherheit auch eine Lücke - und mangelhafte
    > Klarheit - bei der Verarbeitung von HTML-Mails.

    Keineswegs, es ist alles in Ordnung: PGP Entschlüsselt und wirft das Ergebnis dem HTML-Renderer vor die Füße.

    Wenn die Sicherheitseinstellungen der Renderengine es erlauben, fremde Inhalte nachzuladen hat man halt eines der vielen Probleme, die HTML in E-Mails so mit sich bringt.

    *DAS* jetzt PGP als Fehler vorzuwerfen ist eher unklug.

    fb

  6. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Quantium40 15.05.18 - 04:06

    hannob (golem.de) schrieb:
    > Tatsächlich habe ich mir diese Frage auch gestellt. Ich denke es ist die
    > richtige Frage. Und die Antwort ist wohl auch tatsächlich: HTML-Mails sind
    > nirgendwo spezifiziert und jeder Mailclient macht was er für richtig hält.

    Prinzipiell ist das schon recht ordentlich spezifiziert.
    RFC 2045-2049 definieren, wie per MIME die Mail in unterschiedliche Blöcke aufgeteilt wird. Die Behandlung der Blöcke erfolgt danach gemäß ihres Content-Types.
    Im Falle von Content-type: text/html hat der entsprechende Block als Text im HTML-Format interpretiert zu werden. Wie das geht, gibt das W3C vor.

    Bei dem aktuell aufgefallenen Bug ist das eigentliche Problem, dass das Containerformat (MIME) nicht sauber vom Inhalt getrennt wird.

    Würde das getan, würden Entschlüsselungsfunktionen die Crypto-Payload im HTML-Tag entweder gar nicht zu Gesicht bekommen, weil das einem text/html-Block zugeordnet wäre oder aber sie würden den verschlüsselten Block zwar sehen und entschlüsseln aber nicht ausleiten können, weil er nicht an den HTML-Renderer gegeben wird, sondern z.B. als Anhang angezeigt würde.

  7. Re: Fragen zum Ablauf und Informationsgewinn für das Selbststudium

    Autor: Auspuffanlage 21.05.18 - 13:01

    an0815 schrieb:
    --------------------------------------------------------------------------------
    > Kann mir Anfänger jemand erklären, wo ich die Informationen etc., z.B. wie
    > sich die Kommunikation des Clients etc. verhält ( iframe etc.) ? Stehen
    > diese in einen RFC etc. .
    > Oder das Verhalten von HTML-Mails etc. ?
    > Da ich überhaupt keine Ahnung habe und wohl auch unfähig bin zu googlen
    > würde ich mich über hilfreiche Antworten freuen.
    >
    > Danke im voraus.
    >
    > Da ich nicht soviel Ahnung, habe ist meine Frage wohl nicht ganz
    > verständlich, aber ich hoffe es ist für jemanden möglich diese zu
    > verstehen.

    Hi ich interpretiere das mal so, dass du wissen willst wo es diese Informationen gibt.

    Hier kannst du nach allen rfc suchen
    https://www.ietf.org/standards/rfcs/

    Hier die Info was rfc sind
    https://www.elektronik-kompendium.de/sites/net/0904121.htm

    Für E-Mail wäre dieser Artikel auch interessant
    https://www.elektronik-kompendium.de/sites/net/0902261.htm

    Ich hoffe ich konnte dir etwas weiterhelfen und deine frage richtig beantworten :)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software Engineer (m/w/d)
    Allianz Technology SE, Stuttgart
  2. Informatiker / Anwendungsentwickler / Programmierer als Softwareentwickler Desktop (m/w/d)
    easySoft. GmbH, Metzingen
  3. Enterprise Risk Manager (m/w/d)
    OEDIV KG, Bielefeld
  4. Teamleitung IT (w, m, div.)
    Leibniz-Institut für Gemüse- und Zierpflanzenbau (IGZ) e.V., Großbeeren bei Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 42,99€ (UVP 49,99€)
  2. 38,99€
  3. (u. a. God of War für 34,99€, Horizon Zero Dawn - Complete Edition für 21,99€, Days Gone für...


Haben wir etwas übersehen?

E-Mail an news@golem.de