EFAIL. S/MIME ist explodiert.

B

BessereHälfte

Banned
Thread Starter
Mitglied seit
03.08.2006
Beiträge
1.662
Hi

Ich wundere mich grad nahezu extrem :fresse:, daß weder HWluxx (RGB-Lüfter wichtiger als Sicheirheit?) noch irgendwer im Forum schon darüber was erzählt hat.
Oder ich such grad extrem schlecht...

Vorab: Bei OpenPGP/GPG geht es primär um HTML-Mails. Kann man alles problemlos fixen. Wenn die Mailprogramme auch mal mitspielen. Ab 58.2 versucht sich Tb schonmal daran. So halbwegs...
https://www.heise.de/security/meldung/Efail-Thunderbird-mit-Enigmail-weiterhin-anfaellig-4052336.html

S/Mime dagegen hat Efail komplett zerlegt (sehe ersten Link). Egal ob HTML oder nicht. In Einzelteile, und die meisten davon sind nun kaputt. Das muß man wenn denn komplett alles neu machen. Weil auch S/Mime 3.2 immernoch nichts von RFC 5084 wissen möchte. Oder soll...

PGP/SMIME: Die wichtigsten Fakten zu Efail - Golem.de

mac
Efail: Für Apple Mail keine Entwarnung - Macwelt

https://www.heise.de/security/meldung/Efail-Welche-E-Mail-Clients-sind-wie-sicher-4053873.html

p.s.:
Bei Heise (bei Heise! :hwluxx:) muß man zum Thema Mailverschlüsselung mittlerweile und leider SEHR aufpassen. Ich trau dem Jürgen Schmidt mittlerweile auch nicht über den Weg
Fefes Blog
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
S/MIME ist auch nur bei HTML in Gefahr. Da eben in dem unverschlüsselten Teil ein href eingebaut wird und der verschlüsselte Teil als Paramerer übergeben wird.
Von daher: HTML in solchen Mails aus = Keine Gefahr mehr für S/MIME.
 
Ja sorry, so meinte ich das, Galt ja HMTL-Mails. Deswegen sind auch Claws und Mutt nicht betroffen ;) War bisschen unklar geschrieben vorher.

Das ist mit/für OpenPGP fixbar.

In S/MIME geht das nicht. Dafür muß man die Vorgaben neu schreiben. Wie ich aber schon verlinkt habe, HMTL aus muß nicht 100% HTML aus sein. Sehe Apple Mail.
So wirklich bestätigt, daß es mit HTML-Aus funktioniert, ist das erstmal für Tb. Ich würde mal annehmen, daß die hier genannten da auch keinen Mist bauen
Top 6 desktop email clients for Linux | Opensource.com

Was aber z.B. alle möglichen Outlooks bei "HTML-Aus" veranstalten (so seit 2007 würde ich mal sagen), dazu fand ich noch nichts bestätigtes.

Das Prob ist, daß Leute die HTML nicht explizit für s/mime abstellen können, sondern nur global, es sehr oft nicht tun. Schuldiger ist... die Kommerz (was ein Wunder): Man bekommt nämlich jeden möglichen Shice als Rechnung, Buchungsbestätigung usw. usw. sehr oft in HTML(-Mail).
 
...ich verstehe dein problem nicht!?
normalerweise kannst du bei jedem E-Mail Client einstellen (optionen), in welchem format du verschicken willst... (rich text, text oder html)
auch für den empfang kannst du das dort einstellen oder zb. html abblocken

wenn mann seine emails direkt beim anbieter öffnet oder erst mal sichtet, kann mal erstmal alles in den spam ordner verschieben, damit externe inhalte dort nicht nachgeladen werden

wie gesagt, ich verstehe dein problem nicht!
 
Zuletzt bearbeitet:
chriscrosser schrieb:
...ich verstehe dein problem nicht!?
Zum Vergrößern anklicken....
Ich wüsste nicht, daß ich hier irgendwo von einem Problem vin mir berichtet hätte.

normalerweise kannst du bei jedem E-Mail Client einstellen (optionen), in welchem format du verschicken willst... (rich text, text oder html)
auch für den empfang kannst du das dort einstellen oder zb. html abblocken

wenn mann seine emails direkt beim anbieter öffnet oder erst mal sichtet, kann mal erstmal alles in den spam ordner verschieben, damit externe inhalte dort nicht nachgeladen werden
Zum Vergrößern anklicken....
Macht Sinn. Sehr bequem...

wie gesagt, ich verstehe dein problem nicht!
Zum Vergrößern anklicken....
Wieviele der Beiträge und Links dieses Threads hast du gelesen?
 
..deinen sarkasmus kannst du dir sparen ;)

dein problem ist für mich nicht nachvollziehbar

du kannst es aber hier gerne weiterprobieren

viel spass damit! ;)

ich bin dann mal raus hier!
 
@dirk11
Sag ich ja. Aktuell vorsicht mit Heise und OpenPGP.

Ja, PGP ist nicht betroffen, aber die Werkzeuge die es nutzen ;) Da strikt zu unterscheiden ist der... Gefahrenerkennung nicht zuträglich. S/Mime dagegern wie gesagt komplett auseinandergefallen. Die bisherigen Standardversionen sind nicht fixbar.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh