|
|
|
|
Something something RSA falsch gemacht
|
|
|
|
|
|
|
Die Leute bei GNOME sind wohl dabei wirklich mehr Aufwand in Fractal zu stecken, dass ist der Client für Matrix unter GNOME. Passt, weil Gajim sowieso der bessere Client für XMPP ist als Empathy und das Smartphone von Purism wird voll auf Matrix aufsetzen.
Das Smartphone von Purism wird wohl 5.5 oder sogar 5.7 Zoll groß, nicht 5.0 Zoll, weil sie eine größere Batterie haben wollen. Ich würde lieber auf Laufzeit oder CPU-Power verzichten, kleinere Bildschirme brauchen auch weniger Strom.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 14.05.2018 11:01]
|
|
|
|
|
|
"They figured out mail clients which don't properly check for decryption errors and also follow links in HTML mails. So the vulnerability is in the mail clients and not in the protocols. In fact OpenPGP is immune if used correctly while S/MIME has no deployed mitigation."
https://twitter.com/gnupg/status/995931083584757760
|
|
|
|
|
|
|
Das Enigmail & Co. keine richtige Fehlerbehandlung haben, überrascht jetzt nicht, aber
and also follow links in HTML mails
follow links in HTML mails
follow links in mails
follow links
Was?²
|
|
|
|
|
|
|
Bestimmt um irgendwelchen Content zu previewen. Brillant.
|
|
|
|
|
|
|
|
|
|
Na klar.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
wir halten also fest, mime mails waren und werden immer ein sicherheitsproblem sein und bleiben.
ebenfalls, diese „forscher“ scheinen die besten der besten der besten zu sein. sagt jemand, der auf den mime fuck seit gefühlt 16 jahren hinweist und alle sagen, dass ist toll und absolut unproblematisch. als nächstes gibts dann „efail part 2“ wo man dann mitgeteilt bekommt, dass die html/css/js engines in den mail clients nicht ansatzweise so gut und häufig gefixt / gepflegt werden wie die in browsern. surprise...
|
|
|
|
|
|
|
Klingt noch alles bisschen merkwürdige. Heise enttäuscht mich etwas. Signal als Ersatz für Emailverschlüsselung anzupreißen, ist eine Themaverfehlung. Dabei haben sie doch selbst passenden Artikel zum verlinken.
HTML-Mails
Fehlen nur noch Umlautdomains
Benützt jemand wirklich S/MIME? Mit PGP habe ich tatsächlich schon Kontakt in der Praxis gehabt.
// edit
Das mit Signal kommt wohl originär von den Entdeckern der Lücke(n).
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von hoschi am 14.05.2018 14:20]
|
|
|
|
|
|
uff
|
|
|
|
|
|
|
das ist so ne wilde Mischung aus "wir sagen noch nicht, was genau der Angriff ist" und "wir wörden alle störben"-FUD. Wenn da Mail-Clients Input aus welcher Quelle auch immer nicht prüfen, ist damit mal grundsätzlich alles im Userkontext kompromittierbar, nicht nur der PGP-Key. Wenn der Mailclient ein js ausführt, das das komplette Userverzeichnis irgendwohin hochsynchronisiert, schreit ja auch keiner daß Windows-Explorer / Gnome anfällig ist, sondern Outlook (by default) und Evolution.
|
|
|
|
|
|
|
Genaues wissen wir eben nicht. Abwarten und Tee trinken. Am Ende ist dann K-Mail oder Evolution gar nicht betroffen oder durch die Bank alle, wie bei der 8086-Geschichte von der letzten Seite. Emailverschlüsselung ist zum (Un)Glück leider nicht weit verbreitet.
// edit
Beim Spielen gibt es keine wirklichen Unterscheide zwischen GNOME oder KDE, lediglich Wayland verliert ein im Vergleich zu X11. Die Desktopumgebung sollte keine direkten Einfluss haben, weil seit einigen Jahren alle Anwendung im Vollbildmodus "unredirected" werden. Ich kann mir vorstellen, dass die Vermutung bezüglich der gleichen Performance von Xonotic so nicht stimmt, das Spiel basiert auf der SDL2 und läuft nativ mit Wayland, braucht also kein XWayland wie alle(?) anderen Spiele im Testfeld.
Alles mit IOQuake3 sollte inzwischen die SDL2 nutzen, also direkt auf Wayland laufen.
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von hoschi am 14.05.2018 14:44]
|
|
|
|
|
|
| Zitat von hoschi
Genaues wissen wir eben nicht.
| |
doch, wissen wir, weil die profis doch am werk waren...
https://efail.de/efail-attack-paper.pdf
s/mime war noch nie wirklich als sicher angesehen. PGP schon. letzteres ist auch nach wie vor sicher, sofern die clients es richtig implementieren. surprise. wie bei jeder library, wenn falsch umgesetzt, dann knallts.
in dem fall ist es aber nicht mal die crypto lib die hier nen fehler hat, sondern die konsumenten davon, aka die email clients. wenn diese sicherheitsmeldungen der lib ignorieren und dann einfach weitermachen, als wenn nix gewesen ist, dann nunja...
zumindest stell ich mir dann die frage in wie weit ich den leuten / firmen hinter diesen email client projekten trauen sollte. insbesondere, weil es jetzt nicht gerade unbekannt ist, dass diese MIME sachen schon seit fast 20 jahren ausgenutzt werden. das ist einfallsvektor nummer eins (für firmennetzwerke), wenn es um outlook geht. seit 20 jahren!
das darüber daten abgeschnorchelt werden können, wenn aus dem html renderer daten von irgendwo ohne kontrolle nachgeladen werden können, dann ist das auch nicht unbedingt neu. das hatten diverse leute vor ebenfalls gut 18-20 jahren schon angemahnt. das wurde auch schon mehrfach wunderprächtig ausgenutzt.
das problem an all dem ist die ranzige (schon immer) MIME sache und das die HTML/CSS/(JS) engines in den mail clients einfach nicht wirklich auf dem stand der dinge sind. die werden teilweise komplett unabhängig von den normalen browser engines gepflegt, weil "die ja nicht so anfällig" und "nicht so ein grosser angriffsvektor sind". es gibt gute gründe, warum viele gescheite firmen alle eingehenden emails filtern, sowohl um spam, als auch malware zu entfernen und gar nicht erst in das netz gelangen zu lassen. ebenfalls gibt es firmen die jegliche eingehende email mit HTML/MIME content von ihrem HTML anteil befreien und erst dann zustellen.
dann gibt es natürlich auch noch die leute, die halt einfach keine HTML mails rendern lassen. bei ner plain text anzeige kann man da einfach nicht viel einschleusen oder abschnorcheln. da wird nichts geparsed, da wird nichts nachgeladen, da wird einfach nur text angezeigt.
|
|
|
|
|
|
|
Versteh ich das richtig, dass OpenPGP beim decrypten einer manipulierten Nachricht einen Fehler wirft, den output aber dennoch rauspiped und das Problem ist, dass viel software den Fehlerstatus nicht prüft?
|
|
|
|
|
|
|
jap. unter anderem zumindest.
ich weiss ja nicht ob die „forscher“ sich da mal die entsprechenden RFCs angeschaut haben oder nicht, aber ich tippe auf nicht und vermutlich einige leute, die mime implementationen geschrieben haben, wohl auch nicht.
https://tools.ietf.org/html/rfc1847
https://tools.ietf.org/html/rfc3156
wenn ich die so überfliege und mit dem schnipsel aus dem paper da vergleiche, dann fällt mir da noch nen ganz anderer bug als das html zeugs auf.
multipart/mixed ist irgendwie nicht so direkt multipart/signed. könnte nen grund haben, warum es für crypto nachrichten nen speziellen mime typen gibt. vielleicht hat es was mit der passage zu tun:
|
2.1. Definition of Multipart/Signed
(5) Security considerations: Must be treated as opaque while in
transit
...
The entire contents of the multipart/signed container must be treated
as opaque while it is in transit from an originator to a recipient.
Intermediate message transfer agents must not alter the content of a
multipart/signed in any way, including, but not limited to, changing
the content transfer encoding of the body part or any of its
encapsulated body parts.
| |
wir wissen ja inzwischen, dass ich eine latente RFC sprach schwäche, neben anderen dingen, habe. der part dort aber lässt da irgendwie nicht viel interpretationsspielraum zu, wenn „while in transit“ die mail clients und deren parser mit einschliesst. laut dem, was ich da jetzt kurz überflogen habe, schliesst es die ein.
|
|
|
|
|
|
|
Email einfach wie ne Postkarte behandeln, dann ist es egal.
|
|
|
|
|
|
|
|
|
|
|
Man merkt halt schon am Hypeversuch, dass das FHler sind. *scnr*
Und der oben verlinkte Tweet/Thread von gnupg dazu ist halt das Sahnehäubchen. Tja.
|
|
|
|
|
|
|
GPG ist kaputt </kreisch>
GPG so: nö. Mailclients sind kaputt.
|
|
|
|
|
|
|
Ahh. Inzwischen doch veröffentlicht.
War da nicht von morgen früh die Rede?
Für das versenden von Emails im Plaintext werde ich allerdings genau so als Bekloppter behandelt, wie für das nicht verwenden von WhatsApp oder Flash oder Skype
Meine Hoffnung war ja, dass sich durch Smartphones ein Stück weit wieder Plaintext etabliert. Dem ist natürlich nicht so. Allerdings wird gefühlt etwas mehr Plaintext verschickt als vor ein paar Jahren, weil man was - kommt an und ist lesbar.
Generell bin ich voll bei Traxer was das Parsen, HTML und JavaScript angeht. Nicht zu unrecht haben die Leute hinter WebKit ordentlich Druck gemacht, weil etliche Anwendung stur gegen alte Versionen gelinkt haben und Debian&Konsorten die aktuellen Sicherheitsupates nicht verteilt haben weil "Stablität".
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von hoschi am 14.05.2018 16:27]
|
|
|
|
|
|
Glückwunschen an Ubuntu
Es ist also genau das passiert, was man erwarten konnte. Leute können beliebige Anwendungen hochladen, Maintainer gibt es nicht mehr, Anwender installieren jeden Mist...
Und weil es in einem Container ist, ist es sicher
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 14.05.2018 16:31]
|
|
|
|
|
|
Cryptomining über Ubuntu-Spiele? Wann will der den ersten Euro verdient haben, 2093?
|
|
|
|
|
|
|
|
|
|
Naja, der wichtigste part
|
| Zitat von csde_rats
GPG ist kaputt </kreisch>
GPG so: nö. Mailclients sind kaputt.
| |
...
FHler so: mimimi, noch nich verraten, menno!
Alle anderen so: thx gnupg
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Rufus am 14.05.2018 16:36]
|
|
|
|
|
|
Und dann auch noch BCN schürfen, lel.
|
|
|
|
|
|
|
|
|
|
|
Hmm, warum ist denn das Dach so stufig? Die werden doch nicht etwa...
...doch!
|
|
|
|
|
|
|
|
|
|
Thema: Der Linux-Thread 100 != 0x24 ( Ein Kernelupgrade später... ) |