- Napište nám
- Kontakty
- Reklama
- VOP
- Osobní údaje
- Nastavení soukromí
- Cookies
- AV služby
- Kariéra
- Předplatné MF DNES
Ještě, že z muttu HTML emaily neposílám.
Jak je Technet.cz běžně výbornej, tady mě kvalita článku dost zklamala.
Emaily běžně šifrované nejsou (maximálně při přenosu mezi servery, ale to ještě nepovinně). Pro naprostou většinu lidí se nic nemění.
Nadpis silně mate, a pokud se v tom k čemu je PGP člověk už tak sám nevyzná, obsah článku ho nejspíš pořád nechá v omylu.
Problém nastává, pokud člověk emaily šifruje end-to-end třeba pomocí rozšíření email klienta. Pokud k tomu navíc povolí načtení externích zdrojů v html zprávách, útočník může do takového požadavku k načtení ukrýt odchycenou zašifrovanou zprávu, která se rozšifruje a odešle jako součást toho požadavku. Chyba je tedy v tom, že se nepokouší jen rozšifrovat celou zprávu, pokud je zašifrována, ale jakoukoli její část, která vypadá jako zašifrovaná, nezavisle na tom, kde to je (jako třeba v požadavku na stáhnutí obrázku ze vzdáleného serveru, ovládaného útočníkem).
Málokdy obě strany používají takového poštovního klienta, který šifrování vůbec umožňuje, takže pro drtivou většinu komunikace je to zcela nezajímavé.
Kdo z nějakého důvodu šifruje a současně nekontroluje integritu zpráv, tak je hlupák. Stačí zprávu šifrovat a současně i podepsat, dále kontrolovat DKIM (další podpis, který umožní ověřit, zda se cestou od odesílajícího serveru k příjemci něco nezměnilo).
Poslední hřebíček do rakve je zobrazení vzdáleného obsahu ve zprávě - a jakýkoli rozumně nastavený klient to udělá až po souhlasu uživatele.
Kromě toho PGP už velmi dlouho má zprávy podepsané, ale tohle je chyba poštovních klientů, kteří to nekontrolují.
Takže i když je to chyba klientů, trochu ostražitý uživatel si může problému všimnout.
Objevné na tom není ani tak samotný způsob útoku, jako zmapování chybných implementací v klientech.
Moje maily ať si čte kdo chce, pro mě se konec světa nekoná :-)
Jasně, všichni přestaneme používat email a pořídíme si poštovní holuby... To budou stejní experti, co říkali, že Meltdown a Spectre jsou konec světa.
těch podmínek, kdy by k tomu mohlo dojít mne nechává klidným.
Pokud útočník získá kontrolu nad poštovním serverem tak je to game over tak jako tak.