mpistora
mpistora
14. 5. 2018 • 18:48

Buď je dešifrování složité a vyžaduje interakci uživatele anebo transparentní, že se o něj uživatel nemusí starat. Ale pak je spousta možností, jak si o dešifrování požádat, aniž by si toho uživatel všiml.

Adam Schubert
Adam Schubert
14. 5. 2018 • 17:59

Pokud vim tak vsechny slusne email klienty blokuji nacitani vzdalenych obrazku by default a notifikuji o tom uzivatele bublinou zda li chce vzdalene obrazky nacist ci nikoliv... pokud by mi prisel sifrovany email mym verejnym GPG klicem a zaroven chtel nacist obrazek tak je hned jasne ze neco 100% smrdi a uz cucim do zdrojaku.
A vubec, uprime kolik lidi na planete sifruje svoji emailovou komunikaci pomoci GPG nebo S/MIME a ma zaroven zapnutne vzdalene nacitani obrazku ? Tipuji tak 0-6 😀
Chyba to sice je, ale spada do kategorie "BFU chyb", a z takovych lidi zvladne vetsinou clovek vyloudit jinymi cestami mnohem zajimavejsi veci vcetne onoho privatniho GPG klice (kdyby takovi lide vedeli co to je a ze jde email vubec sifrovat a ze vubec nejake sifrovani existuje) 😀

British04
British04
14. 5. 2018 • 17:09

Takže to není díra v S/MIME a PGP, ale exploit Multipart/Related content typu, což není až tak překvapující, vzhledem k tomu, jaký punk je tento formát.

Určitě si přečtěte

Články odjinud