|
email pgp und S/Mime nicht mehr sicher
.. ich habe heute diesen
 Artikel gelesen.Es wird dort beschrieben wie PGP und S/Mime verschlüsselte Nachrichten durch manipulierten HTML Content entschlüsselt werden kann bzw. wie Verschlüsselung ausgehebelt werden kann. Wenn ich nur reine TextNachrichten (verschlüsselt) verschicke und der Empfänger nur reine TextNachrichten zulässt - sollte das ganze doch noch sicher sein - oder? Gut - das sind dann zwei Nebenbedingungen mehr um eine sichere Übertragung (end2end) zu gewährleisten. Grüße Klaus |
AW: email pgp und S/Mime nicht mehr sicher
Für mich nicht Weiter tragisch.
Tragischer ist das man bei der Sueddeutschen die User ausschließt die einen Blocker verwenden. Nun wie dem auch sei, ist ein Grund warum ich den Artikel nicht lesen kann. So fängt oder hält man keine Leser. gruss |
AW: email pgp und S/Mime nicht mehr sicher
Das ist das Problem mit den Überschriften vieler Artikel.
Grundsätzlich ist die Verschlüsselung auch weiterhin sicher. Was nicht sicher ist, sind bestimmte Plug-Ins, welche bestimmte Aktionen automatisieren. Und bei den meisten lassen sich diese Automatisierungen auch deaktivieren. ...:cat:... |
AW: email pgp und S/Mime nicht mehr sicher
HMTL und insbesondere das Nachladen von Inhalten sind das Problem. PGP an sich ist sicher.
Und hier ein Link auf eine Seite, die nichts gegen Adblocker einzuwenden hat: https://www.heise.de/security/artike...l-4048873.htmlSherlock |
AW: email pgp und S/Mime nicht mehr sicher
emm What?
So funktioniert PGP doch nicht... Der Chef in diesem Beispiel sendet eine verschlüsselte Mail... Die Nachricht wird an Ihn zurück geschickt und dann per HTML GET der Text als parameter übergeben... So verstehe ich den Artikel... Naja der Sender hat doch NIE den privaten Schlüssel des Nachrichtenempfängers, also kann der Chef die Nachricht nicht entschlüsseln... Selbst wenn die Rückantwort mit dem Public Key des Chefs verschlüsselt wird, kann er die eigene geschriebene Nachricht nie wieder lesen! Oder verstehe ich etwas falsch? Mavarik |
AW: email pgp und S/Mime nicht mehr sicher
Zitat:
Nicht die Verschlüsselung selbst wird geknackt - im Heise-Beispiel wird der Email-Client des Empfängers quasi in die Irre geführt und dazu verleitet, ein vermeintliches externes Bild nachzuladen. Die "angebliche" URL ist der entschlüsselte Text der Email. Im Prinzip eine "Vortäuschung falscher Tatsachen". :mrgreen: |
AW: email pgp und S/Mime nicht mehr sicher
Aber das Funktioniert nur, wenn der Angreifer eine Mail von abgefangen hat, welche an den Chef adressirt war und keine die der Chef an einen anderen versendet hat.
|
AW: email pgp und S/Mime nicht mehr sicher
Eine verschlüsselte Mail geht von A nach B. Wenn C wissen möchte was drin steht, muss er sie erstens abfangen (das Original geht trotzdem an B) und zweitens ein bisschen umbauen und an B weiterleiten. Ersteres ist für Leute, die das tun wollen, kein Problem. Letzters ja nun auch nicht.
Wenn also HTML und (wie bereits gesagt noch schlimmer) Nachladen von Elementen aktiviert ist, dann hat man unter Umständen ein kompromittierbares System. Jetzt aber mal zu den Wahrscheinlichkeiten: Wieviel Prozent aller Nutzer verschlüsseln ihre eMails? Wieviel Prozent von diesen Nutzern erlauben HTML Mails? Es gibt mMn durchaus einen Zusammenhang zwischen dem Sicherheitsbewußtsein, daß zur Verschlüsselung führt und dem Abschalten von HTML-Mails. Womit das Horrorszenario schlußendlich nicht so gruslig ausfällt. Sherlock |
AW: email pgp und S/Mime nicht mehr sicher
Zitat:
Also muss der Angreifer als Man in the Middle schon Zugriff auf die Mail haben und diese an den Empfänger weiterleiten... Und nicht wie es im Artkel steht... Zitat:
Interessant an diesem Beispiel finde ich... Einen Http Get?ID=KundenNr in eine Mail einzubinden ist ja nicht das Problem, hat man schon immer gemacht um zu erfahren, ob und wann die Mail gelesen wurde. Heutige Virenscanner melden und verhindern das i.d.R. sofort... Abgesehen davon Mails nie im HTML-Modus lesen... Um über diesen Link dann den Text zu versenden zu können muss wenigstens auch scripting erlaubt sein... Um auf das DOM-Model zugreifen zu können... Naja. Nicht schön, aber auch nichts für Panikmache, oder? Mavarik |
AW: email pgp und S/Mime nicht mehr sicher
Zitat:
Ich sehe da kein Clientseitiges Scripting / DOM-Gefrickel, was der Client irgendwie abschalten könnte. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:55 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz