Delphi-PRAXiS
Seite 1 von 2  1 2   

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Klatsch und Tratsch (https://www.delphipraxis.net/34-klatsch-und-tratsch/)
-   -   email pgp und S/Mime nicht mehr sicher (https://www.delphipraxis.net/196347-email-pgp-und-s-mime-nicht-mehr-sicher.html)

Klaus01 14. Mai 2018 21:42

email pgp und S/Mime nicht mehr sicher
 
.. ich habe heute diesen Artikel gelesen.
Es wird dort beschrieben wie PGP und S/Mime verschlüsselte Nachrichten durch manipulierten HTML Content entschlüsselt werden kann bzw. wie Verschlüsselung ausgehebelt werden kann.

Wenn ich nur reine TextNachrichten (verschlüsselt) verschicke und der Empfänger nur reine TextNachrichten zulässt - sollte das ganze doch noch sicher sein - oder?

Gut - das sind dann zwei Nebenbedingungen mehr um eine sichere Übertragung (end2end) zu gewährleisten.

Grüße
Klaus

EWeiss 15. Mai 2018 08:41

AW: email pgp und S/Mime nicht mehr sicher
 
Für mich nicht Weiter tragisch.
Tragischer ist das man bei der Sueddeutschen die User ausschließt die einen Blocker verwenden.
Nun wie dem auch sei, ist ein Grund warum ich den Artikel nicht lesen kann.
So fängt oder hält man keine Leser.

gruss

sakura 15. Mai 2018 08:50

AW: email pgp und S/Mime nicht mehr sicher
 
Das ist das Problem mit den Überschriften vieler Artikel.

Grundsätzlich ist die Verschlüsselung auch weiterhin sicher. Was nicht sicher ist, sind bestimmte Plug-Ins, welche bestimmte Aktionen automatisieren. Und bei den meisten lassen sich diese Automatisierungen auch deaktivieren.

...:cat:...

Sherlock 15. Mai 2018 10:01

AW: email pgp und S/Mime nicht mehr sicher
 
HMTL und insbesondere das Nachladen von Inhalten sind das Problem. PGP an sich ist sicher.
Und hier ein Link auf eine Seite, die nichts gegen Adblocker einzuwenden hat:
https://www.heise.de/security/artike...l-4048873.html

Sherlock

Mavarik 15. Mai 2018 11:15

AW: email pgp und S/Mime nicht mehr sicher
 
emm What?

So funktioniert PGP doch nicht...

Der Chef in diesem Beispiel sendet eine verschlüsselte Mail...

Die Nachricht wird an Ihn zurück geschickt und dann per HTML GET der Text als parameter übergeben...

So verstehe ich den Artikel...

Naja der Sender hat doch NIE den privaten Schlüssel des Nachrichtenempfängers, also kann der Chef die Nachricht nicht entschlüsseln...
Selbst wenn die Rückantwort mit dem Public Key des Chefs verschlüsselt wird, kann er die eigene geschriebene Nachricht nie wieder lesen!

Oder verstehe ich etwas falsch?

Mavarik

Daniel 15. Mai 2018 11:18

AW: email pgp und S/Mime nicht mehr sicher
 
Zitat:

Zitat von Mavarik (Beitrag 1402127)
Oder verstehe ich etwas falsch?

Ja.
Nicht die Verschlüsselung selbst wird geknackt - im Heise-Beispiel wird der Email-Client des Empfängers quasi in die Irre geführt und dazu verleitet, ein vermeintliches externes Bild nachzuladen. Die "angebliche" URL ist der entschlüsselte Text der Email. Im Prinzip eine "Vortäuschung falscher Tatsachen". :mrgreen:

mkinzler 15. Mai 2018 13:08

AW: email pgp und S/Mime nicht mehr sicher
 
Aber das Funktioniert nur, wenn der Angreifer eine Mail von abgefangen hat, welche an den Chef adressirt war und keine die der Chef an einen anderen versendet hat.

Sherlock 15. Mai 2018 13:52

AW: email pgp und S/Mime nicht mehr sicher
 
Eine verschlüsselte Mail geht von A nach B. Wenn C wissen möchte was drin steht, muss er sie erstens abfangen (das Original geht trotzdem an B) und zweitens ein bisschen umbauen und an B weiterleiten. Ersteres ist für Leute, die das tun wollen, kein Problem. Letzters ja nun auch nicht.

Wenn also HTML und (wie bereits gesagt noch schlimmer) Nachladen von Elementen aktiviert ist, dann hat man unter Umständen ein kompromittierbares System.

Jetzt aber mal zu den Wahrscheinlichkeiten:
Wieviel Prozent aller Nutzer verschlüsseln ihre eMails?
Wieviel Prozent von diesen Nutzern erlauben HTML Mails?

Es gibt mMn durchaus einen Zusammenhang zwischen dem Sicherheitsbewußtsein, daß zur Verschlüsselung führt und dem Abschalten von HTML-Mails. Womit das Horrorszenario schlußendlich nicht so gruslig ausfällt.

Sherlock

Mavarik 15. Mai 2018 14:09

AW: email pgp und S/Mime nicht mehr sicher
 
Zitat:

Zitat von Daniel (Beitrag 1402128)
Zitat:

Zitat von Mavarik (Beitrag 1402127)
Oder verstehe ich etwas falsch?

Ja.
Nicht die Verschlüsselung selbst wird geknackt - :mrgreen:

Ja, das ist mir schon klar...

Also muss der Angreifer als Man in the Middle schon Zugriff auf die Mail haben und diese an den Empfänger weiterleiten... Und nicht wie es im Artkel steht...

Zitat:

Zitat von sueddeutsche.de
Diesen präparieren sie und verschicken ihn an den Chef.

Quark...

Interessant an diesem Beispiel finde ich...

Einen Http Get?ID=KundenNr in eine Mail einzubinden ist ja nicht das Problem, hat man schon immer gemacht um zu erfahren, ob und wann die Mail gelesen wurde.
Heutige Virenscanner melden und verhindern das i.d.R. sofort... Abgesehen davon Mails nie im HTML-Modus lesen...

Um über diesen Link dann den Text zu versenden zu können muss wenigstens auch scripting erlaubt sein... Um auf das DOM-Model zugreifen zu können...

Naja. Nicht schön, aber auch nichts für Panikmache, oder?

Mavarik

Morphie 15. Mai 2018 14:30

AW: email pgp und S/Mime nicht mehr sicher
 
Zitat:

Zitat von Mavarik (Beitrag 1402146)
Um über diesen Link dann den Text zu versenden zu können muss wenigstens auch scripting erlaubt sein... Um auf das DOM-Model zugreifen zu können...

Wieso? Der E-Mail Client versucht den Anhang (der ja vorgibt ein externes Bild zu sein) herunterzuladen. Der Anhang ist in wirklichkeit aber z.B. ein PHP-Script welches mit einem URL-Parameter (nämlich der bereits entschlüsselte E-Mail-Content) aufgerufen wird. Serverseitig versendet das PHP-Script dann den übergebenen Parameter an den Angreifer.
Ich sehe da kein Clientseitiges Scripting / DOM-Gefrickel, was der Client irgendwie abschalten könnte.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:21 Uhr.
Seite 1 von 2  1 2   

Powered by vBulletin® Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf