1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Angreifer können…

clients fixen

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. clients fixen

    Autor: phade 15.05.18 - 14:09

    Hi, wäre es nicht ganz einfach, wenn ein Mailclient einfach nachfragt, bevor es irgendein Argument an eine URL übermittelt ?

    "Wollen Sie wirklich folgende Parameter: <Liebeschwur der Mätresse> an folgende URL: "hackedserver.tld/scriptkiddie.jpg> übermitteln ?"

    Und diese Option einfach default mit dem nächsten Update eingeschaltet wird ?
    Und man irgendwo gaaanz tief suchen muss, um es wieder ohne Nachfrage zu erlauben ?

    Würde auch dieses ganze Backtracking gleich miterschlagen ;o)

  2. Re: clients fixen

    Autor: Mingfu 15.05.18 - 14:20

    Es muss kein spezielles Argument sein. Es reicht aus, wenn die URL selbst die Daten enthält: evilserver.com/This%20is%20a%20secret%20message würde genauso funktionieren.

  3. Re: clients fixen

    Autor: phade 15.05.18 - 14:31

    Ok, auch dazu hätte ich gerne eine Option im Mailclient.

    Ich will generell nicht, dass eine eMail irgendwas nachlädt.

    Wenn z.B. ein Newsletter da schön bunt sein will oder die Versandnachricht einer Bestellung da Bilder braucht ... hm ... dann soll Sie die mitschicken oder mein Client fragt mich halt, dann kann ich das selbst entscheiden.

  4. Re: clients fixen

    Autor: Mr Miyagi 15.05.18 - 14:38

    phade schrieb:
    --------------------------------------------------------------------------------
    > Ok, auch dazu hätte ich gerne eine Option im Mailclient.
    >

    Welchen Client benutzt Du denn?

  5. Re: clients fixen

    Autor: Mingfu 15.05.18 - 14:38

    Wie schon in der Diskussion zu dem anderen Thema gesagt: Das ist bei vielen E-Mail-Clients auch längst Standard, dass externe Inhalte blockiert sind, bis der Nutzer dem Laden dieser Inhalte zustimmt.

    Wobei das natürlich keine absolute Sicherheit bietet, denn da die Sache benutzbar bleiben soll, gilt die Zustimmung für die gesamte Nachricht. Der Nutzer wird aber nicht jedes Element einzeln untersuchen, welche Informationen dort jeweils abfließen können.

  6. Re: clients fixen

    Autor: phade 15.05.18 - 15:19

    Zumeist Mail von der Seamonkey-Suite (ergo Thunderbird). Nur nutzt das nix, wenn das für den Normaluser eben default nicht eingeschaltet ist.

    Das Rezept dafür kann sogar noch einfacher sein:

    - der Mailclient merkt sich, welche Mails er ganz oder teilweise entschlüsselt hat
    - soll eine Mail, die mal verschlüsselt war, dargestellt werden, checkt er, ob sie
    solche URLs enthält
    - und frag bei jeder URL manuell nach, ob er diese URL wirklich ausführen soll, bevor
    er Sie darstellt

    Und die Option kann man NICHT abschalten.

    Für den Normaluser ändert sich gar nichts, weil er gar keine verschlüsselten Mails bekommt. Da werden prima weiter Bilder nachgeladen.

    Derjenige, der aktiv Verschlüsselung nutzt, bekommt wiederum nur wenige verschlüsselte Mails MIT Inline-Inhalten (weil der Sender ja schon weiss, dass es uncool wäre, sowas mitzuschicken) und wird davon auch kaum genervt werden, weil er ja betreffs Sicherheit schon sensibilisiert ist.

    Apple Mail, Thunderbird, Outlook und Android Mail updaten und das Risiko ist extrem minimiert.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Teamleiter (m|w|d) Linux - Systeme
    Bertrandt AG Ehningen, Ehningen
  2. Mitarbeiter/in (m/w/d) Web-Relaunch
    Hochschule Furtwangen, Furtwangen im Schwarzwald
  3. Teamleiter IT-Service Desk (m/w/d)
    Hays AG, München
  4. IT-Demand Manager (m/w/d)
    Techniker Krankenkasse, Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Rowenta Silence Standventilator für 71,99€ statt 189,99€, Dyson Pure Cool Luftreiniger...
  2. 299€ (Bestpreis, UVP 499€)
  3. 129€ (UVP 189€)
  4. 639€ (UVP 999€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


2FA: Wie sicher sind TOTP, Fido, SMS und Push-Apps?
2FA
Wie sicher sind TOTP, Fido, SMS und Push-Apps?

Zwei- oder Multi-Faktor-Authentifizierung soll uns sicherer machen. Wir erklären, wie TOTP, Fido & Co. funktionieren und wovor sie schützen.
Von Moritz Tremmel

  1. Lapsus$ Hackergruppe umgeht 2FA mit einfachem Trick
  2. Phishing Kriminelle umgehen 2FA mit Bots
  3. Passwörter Google aktiviert Zwei-Faktor-Authentifizierung standardmäßig

Huawei Watch GT 3 Pro im Test: Sportliche Smartwatch im Erholungsmodus
Huawei Watch GT 3 Pro im Test
Sportliche Smartwatch im Erholungsmodus

Die Hardware ist toll, aber in Sachen Software hat sich bei der Watch GT 3 Pro von Huawei zu wenig getan - trotz einer neuen Metrik.
Ein Test von Peter Steinlechner

  1. LTE, 5G Kanada verbietet Huawei und ZTE in Mobilfunknetzen
  2. Fehler in Huaweis App Gallery Bezahl-Apps für Android gibt es kostenlos
  3. Watch GT 3 Pro und mehr Huawei macht sein Wearable-Ökosystem gesünder

Technics EAH-A800 im Praxistest: Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer
Technics EAH-A800 im Praxistest
Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer

Technics' neuer ANC-Kopfhörer EAH-A800 ist eine der besten Alternativen zu Sonys Oberklasse-Kopfhörer WH-1000XM5. Im Bereich Akkulaufzeit liefert er sogar Spitzenleistung.
Ein Test von Ingo Pakalski