AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Klatsch und Tratsch email pgp und S/Mime nicht mehr sicher
Thema durchsuchen
Ansicht
Themen-Optionen

email pgp und S/Mime nicht mehr sicher

Ein Thema von Klaus01 · begonnen am 14. Mai 2018 · letzter Beitrag vom 15. Mai 2018
Antwort Antwort
Seite 1 von 2  1 2      
Klaus01
Online

Registriert seit: 30. Nov 2005
Ort: München
5.768 Beiträge
 
Delphi 10.4 Sydney
 
#1

email pgp und S/Mime nicht mehr sicher

  Alt 14. Mai 2018, 21:42
.. ich habe heute diesen Artikel gelesen.
Es wird dort beschrieben wie PGP und S/Mime verschlüsselte Nachrichten durch manipulierten HTML Content entschlüsselt werden kann bzw. wie Verschlüsselung ausgehebelt werden kann.

Wenn ich nur reine TextNachrichten (verschlüsselt) verschicke und der Empfänger nur reine TextNachrichten zulässt - sollte das ganze doch noch sicher sein - oder?

Gut - das sind dann zwei Nebenbedingungen mehr um eine sichere Übertragung (end2end) zu gewährleisten.

Grüße
Klaus
Klaus
  Mit Zitat antworten Zitat
EWeiss
(Gast)

n/a Beiträge
 
#2

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 08:41
Für mich nicht Weiter tragisch.
Tragischer ist das man bei der Sueddeutschen die User ausschließt die einen Blocker verwenden.
Nun wie dem auch sei, ist ein Grund warum ich den Artikel nicht lesen kann.
So fängt oder hält man keine Leser.

gruss
  Mit Zitat antworten Zitat
Benutzerbild von sakura
sakura

Registriert seit: 10. Jun 2002
Ort: Unterhaching
11.412 Beiträge
 
Delphi 12 Athens
 
#3

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 08:50
Das ist das Problem mit den Überschriften vieler Artikel.

Grundsätzlich ist die Verschlüsselung auch weiterhin sicher. Was nicht sicher ist, sind bestimmte Plug-Ins, welche bestimmte Aktionen automatisieren. Und bei den meisten lassen sich diese Automatisierungen auch deaktivieren.

......
Daniel Lizbeth
Ich bin nicht zurück, ich tue nur so
  Mit Zitat antworten Zitat
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.798 Beiträge
 
Delphi 12 Athens
 
#4

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 10:01
HMTL und insbesondere das Nachladen von Inhalten sind das Problem. PGP an sich ist sicher.
Und hier ein Link auf eine Seite, die nichts gegen Adblocker einzuwenden hat:
https://www.heise.de/security/artike...l-4048873.html

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.143 Beiträge
 
Delphi 10.3 Rio
 
#5

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 11:15
emm What?

So funktioniert PGP doch nicht...

Der Chef in diesem Beispiel sendet eine verschlüsselte Mail...

Die Nachricht wird an Ihn zurück geschickt und dann per HTML GET der Text als parameter übergeben...

So verstehe ich den Artikel...

Naja der Sender hat doch NIE den privaten Schlüssel des Nachrichtenempfängers, also kann der Chef die Nachricht nicht entschlüsseln...
Selbst wenn die Rückantwort mit dem Public Key des Chefs verschlüsselt wird, kann er die eigene geschriebene Nachricht nie wieder lesen!

Oder verstehe ich etwas falsch?

Mavarik
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#6

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 11:18
Oder verstehe ich etwas falsch?
Ja.
Nicht die Verschlüsselung selbst wird geknackt - im Heise-Beispiel wird der Email-Client des Empfängers quasi in die Irre geführt und dazu verleitet, ein vermeintliches externes Bild nachzuladen. Die "angebliche" URL ist der entschlüsselte Text der Email. Im Prinzip eine "Vortäuschung falscher Tatsachen".
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#7

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 13:08
Aber das Funktioniert nur, wenn der Angreifer eine Mail von abgefangen hat, welche an den Chef adressirt war und keine die der Chef an einen anderen versendet hat.
Markus Kinzler
  Mit Zitat antworten Zitat
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.798 Beiträge
 
Delphi 12 Athens
 
#8

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 13:52
Eine verschlüsselte Mail geht von A nach B. Wenn C wissen möchte was drin steht, muss er sie erstens abfangen (das Original geht trotzdem an B) und zweitens ein bisschen umbauen und an B weiterleiten. Ersteres ist für Leute, die das tun wollen, kein Problem. Letzters ja nun auch nicht.

Wenn also HTML und (wie bereits gesagt noch schlimmer) Nachladen von Elementen aktiviert ist, dann hat man unter Umständen ein kompromittierbares System.

Jetzt aber mal zu den Wahrscheinlichkeiten:
Wieviel Prozent aller Nutzer verschlüsseln ihre eMails?
Wieviel Prozent von diesen Nutzern erlauben HTML Mails?

Es gibt mMn durchaus einen Zusammenhang zwischen dem Sicherheitsbewußtsein, daß zur Verschlüsselung führt und dem Abschalten von HTML-Mails. Womit das Horrorszenario schlußendlich nicht so gruslig ausfällt.

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.143 Beiträge
 
Delphi 10.3 Rio
 
#9

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 14:09
Oder verstehe ich etwas falsch?
Ja.
Nicht die Verschlüsselung selbst wird geknackt -
Ja, das ist mir schon klar...

Also muss der Angreifer als Man in the Middle schon Zugriff auf die Mail haben und diese an den Empfänger weiterleiten... Und nicht wie es im Artkel steht...

Zitat von sueddeutsche.de:
Diesen präparieren sie und verschicken ihn an den Chef.
Quark...

Interessant an diesem Beispiel finde ich...

Einen Http Get?ID=KundenNr in eine Mail einzubinden ist ja nicht das Problem, hat man schon immer gemacht um zu erfahren, ob und wann die Mail gelesen wurde.
Heutige Virenscanner melden und verhindern das i.d.R. sofort... Abgesehen davon Mails nie im HTML-Modus lesen...

Um über diesen Link dann den Text zu versenden zu können muss wenigstens auch scripting erlaubt sein... Um auf das DOM-Model zugreifen zu können...

Naja. Nicht schön, aber auch nichts für Panikmache, oder?

Mavarik
  Mit Zitat antworten Zitat
Morphie

Registriert seit: 27. Apr 2008
Ort: Rahden
630 Beiträge
 
#10

AW: email pgp und S/Mime nicht mehr sicher

  Alt 15. Mai 2018, 14:30
Um über diesen Link dann den Text zu versenden zu können muss wenigstens auch scripting erlaubt sein... Um auf das DOM-Model zugreifen zu können...
Wieso? Der E-Mail Client versucht den Anhang (der ja vorgibt ein externes Bild zu sein) herunterzuladen. Der Anhang ist in wirklichkeit aber z.B. ein PHP-Script welches mit einem URL-Parameter (nämlich der bereits entschlüsselte E-Mail-Content) aufgerufen wird. Serverseitig versendet das PHP-Script dann den übergebenen Parameter an den Angreifer.
Ich sehe da kein Clientseitiges Scripting / DOM-Gefrickel, was der Client irgendwie abschalten könnte.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:32 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz