Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Подробности атаки на шифрование PGP и S/MIME в почтовых клие..., opennews (??), 14-Май-18, (0) [смотреть все] Ублюдку, который придумал слать html в письмах, надо вбить количество в ж Как и , Аноним (-), 22:09 , 14-Май-18, (2) +27 // 1 В письмах должен быть только текст, вложения и ссылки Остальное всё ненужно, th3m3 (ok), 22:22 , 14-Май-18, (3) +1 // Ну да Чтобы ни таблицу не вставить, ни картинку, ни вменяемо оформленный текст , Crazy Alex (ok), 22:36 , 14-Май-18, (4) +5 // В той же птичке галочка по умолчанию отключена, для возможности запросов в Инет , КО (?), 23:13 , 14-Май-18, (6) –1 Если есть галочка это заканчивается только тем, что пока её не нажмёшь - ни черт, Crazy Alex (ok), 23:29 , 14-Май-18, (7) +6 Не знаю, мне обычно все понятно, ибо ссылки на аттач работают, стили и отступы р, КО (?), 14:35 , 15-Май-18, (52) Ну и в качестве бонуса можно разрешать в конкретном письме или из доверенных ист, КО (?), 14:38 , 15-Май-18, (53) Хорошо подумав понял, что был не прав по поводу второй уязвимости Фиг с ним с im, КО (?), 17:36 , 18-Май-18, (69) Но к HTML это опять же отношения не имеет, можно сделать на любой разметке - ори, КО (?), 17:37 , 18-Май-18, (70) Markdown было бы достаточно , Аноним (-), 23:33 , 14-Май-18, (8) +2 AsciiDoc хватит всем , Аноним (-), 00:06 , 15-Май-18, (11) +4 Стабильного кнутовского ТеХ-а -- всем В печёнки Ибо не , Andrey Mitrofanov (?), 11:41 , 15-Май-18, (48) В принципе да, если тащить инлайновые картинки в виде multipart Лично я бы пред, Crazy Alex (ok), 00:15 , 15-Май-18, (12) –1 Ой, только не PDF PostScript - это ж хоть и специфичный, но полноценный, Тьюрин, KonstantinB (ok), 07:16 , 15-Май-18, (25) –1 Даёшь майнеры в письмах , Бетховен (?), 09:53 , 15-Май-18, (38) pdf и ps - разные вещи, в этом плане можно не беспокоиться, Crazy Alex (ok), 10:19 , 15-Май-18, (39) –2 Инлайновые картинки кстати очень хорошая вещь В вебе не используются по простой, rshadow (ok), 11:03 , 15-Май-18, (43) Для кучеряво оформленных документов есть специальная фича - вложения , anonblmous (?), 08:13 , 15-Май-18, (29) +5 PDF в аттаче отправляйте , freehck (ok), 11:32 , 17-Май-18, (68) А ведь это ПРАВДА Для пущей безопасности я бы еще из списка http-ссылки поудалял, konst55512 (?), 01:38 , 15-Май-18, (15) // Вот это как раз дело совершенно невозможное Они непрошибаемы разве что ломом в, anonblmous (?), 08:14 , 15-Май-18, (30) Ссылки то как раз дело хорошее При нажатии главное чтоб диалог подтвержения был, rshadow (ok), 11:12 , 15-Май-18, (46) Полностью согласен Вероятно идея HTML в электронной почте является самой разруш, Некто (??), 01:54 , 15-Май-18, (17) +1 // И что в ней такого разрушительного и убыточного на фоне тех же аттачей , angra (ok), 04:27 , 15-Май-18, (21) –2 // Аттач еще открыть надо А HTML - все делает сам Начиная от выполнения хакерског, Аноним (-), 00:25 , 16-Май-18, (63) Я больше скажу yблюдкy который вообще придумал EML надо большой и длинный встав, Аноним (-), 05:52 , 15-Май-18, (22) +1 Ты даже не представляешь, как удобно брать мышкой выделенный текст из ворда и пе, Аноним (-), 08:40 , 15-Май-18, (35) –2 // открытки рассылаешь что ли , АНГЫВНАГЫНВАШЩ (?), 11:15 , 15-Май-18, (47) // Обычные ИПшные вещи - например, кусок документа скопировать и выслать , Аноним (-), 11:47 , 15-Май-18, (49) +1 И нафига при этом вместе с текстом тащить в письмо отступы, интервалы, кегли и п, Аноним (-), 14:26 , 15-Май-18, (51) Ну бывает хочется коментарии италиком, литералы одним цветом, ключевые слова дру, КО (?), 14:41 , 15-Май-18, (54) , Michael Shigorin (ok), 23:46 , 14-Май-18, (9) +2 // Я вот, кстати, даже удивился в кои веки Claws, который мне Опеннет из соображен, PereresusNeVlezaetBuggy (ok), 06:37 , 15-Май-18, (23) // Наверное, не доделано просто, не успели присоединиться , Ю.Т. (?), 07:01 , 15-Май-18, (24) Claws как был лучшим из гуевых, так и остался, лол Кстати, Sylpheed подвержен уя, Аноним (-), 11:11 , 15-Май-18, (45) Сделать MITM и пихнуть img тег DKIM О_о - не не слышал , Sw00p aka Jerom (?), 00:50 , 15-Май-18, (13)   // То что DKIM подписывает исключительно заголовки и то не все, обычно h Content-, Некто (??), 01:36 , 15-Май-18, (14)   // DKIM может подписать всё, что ему скажешь, в том числе и тело сообщения Разумее, angra (ok), 04:24 , 15-Май-18, (20) +2   // Тут нужно отметить одно, МИТМ происходит на стороне получателя, и если отправите, Sw00p aka Jerom (?), 16:28 , 15-Май-18, (56) +1   нее, не читал https www ietf org rfc rfc6376 txt, Sw00p aka Jerom (?), 16:30 , 15-Май-18, (57)   И при чем тут это Письмо отправляет атакующий от себя Зачем ему этот Ваш DKIM , КО (?), 08:46 , 16-Май-18, (64)   // Расшифровать может как и клиент получатель так и его pgp шлюз, и тоже самое с , Sw00p aka Jerom (?), 14:19 , 16-Май-18, (67)   Меня реально в этой уязвимости удивляет почему шифрование PGP и S MIME используе, Некто (??), 01:40 , 15-Май-18, (16) +2 // Это или от безалаберности или By design , а то чет в последнее время палятся сл, Аноним (-), 02:20 , 15-Май-18, (18) +1 Криптоподпись подтверждает отправителя, это не всем нужно и не всегда , Аноним (-), 03:46 , 15-Май-18, (19) +1 // Шифрование с использованием открытого публичного ключа как бы уже подтверждает о, anomymous (?), 07:54 , 15-Май-18, (27) –5 // Можно подробностей , Аноним (-), 08:09 , 15-Май-18, (28) Можно Ключ для расшифровки вы как будете выбирать на клиенте , anomymous (?), 08:38 , 15-Май-18, (34) для -- ДЕшифровки я попробовал бы свой ключ а не ключ отправителя которого, с, Xasd5 (?), 09:48 , 15-Май-18, (37) ты ошибся, брат Бывает, Аноним (-), 10:59 , 15-Май-18, (41) –1 Да, мне тоже удивительно, почему в сообщении с шифрованием, к тому же использующ, anomymous (?), 07:53 , 15-Май-18, (26) +1 В данном случае это не важно Ибо письмо посылает атакующий Просто вставляет ту, КО (?), 08:30 , 15-Май-18, (32) +1 // Опять же - mixed content разрешен почему-то Чётких boundary сделать для крипток, anomymous (?), 08:37 , 15-Май-18, (33) Ты фигню несёшь Кого атакующий, посылающий письмо, атаковать будет Себя Ведь , Аноним (-), 22:21 , 15-Май-18, (62) Это что подпись для исходного письма лолВозможным, так как подписывается не всё, Nicknnn (ok), 21:42 , 15-Май-18, (61) Всегда говорил, что за HTML в почте надо вешать на первом фонаре , ryoken (ok), 09:26 , 15-Май-18, (36) +1 лолЭх, как не терпелось-то, а Ведь и название придумали, и сайт запилили на кра, Аноним (-), 10:30 , 15-Май-18, (40) // Видные британские дизайнеры, верстальщики и один маркетолог объявили о нахожден, Аноним (-), 11:01 , 15-Май-18, (42) +1 то есть я, злоумышленник, могу послать письмо, включить в него шифрованный конте, анон (?), 13:40 , 15-Май-18, (50) // Если у получателя стоит галочка отправлять геты на сторону Если не стоит, то не, КО (?), 14:44 , 15-Май-18, (55) Печально то, что Thunderbird оказался уязвим Печально, но не удивительно, если , Kuromi (ok), 16:38 , 15-Май-18, (58) –1 // на офсайте написано free, easy, great features и всё совпадает rare cases наруш, Аноним (-), 18:54 , 15-Май-18, (60) Если ССЗБ снимет галочку - получать контент из интернета для всех писем, сайтов, КО (?), 08:49 , 16-Май-18, (65) // Т е поставит , КО (?), 08:51 , 16-Май-18, (66) гг если дырка в обращении к внешним ресурсам через html, то надо запретить html , Аноним (-), 20:38 , 19-Май-18, (71) 2,9,13,16,36,40,50,58,71

Сообщения

[Сортировка по времени | RSS]

13. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
Сообщение от Sw00p aka Jerom (?), 15-Май-18, 00:50
Сделать MITM и пихнуть img тег! DKIM? О_о - не не слышал:)
Ответить | Правка | Наверх | Cообщить модератору

	14. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от Некто (??), 15-Май-18, 01:36
	>Сделать MITM и пихнуть img тег! >DKIM? О_о - не не слышал:) То что DKIM подписывает исключительно заголовки (и то не все, обычно: h=Content-Type:MIME-Version:Date:Message-ID:Subject:From:To;) не слышал?
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+2 +/–
	Сообщение от angra (ok), 15-Май-18, 04:24
	DKIM может подписать всё, что ему скажешь, в том числе и тело сообщения. Разумеется, это только в том случае, если DKIM формирует твой MUA или MTA, а не какой-нибудь google, msn, mail.ru итп.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+1 +/–
	Сообщение от Sw00p aka Jerom (?), 15-Май-18, 16:28
	Тут нужно отметить одно, МИТМ происходит на стороне получателя, и если отправитель подписал DKIM-мом, собственно получатель обязан по современным меркам проверить подпись, в таком случае внедрить тег и провести атаку - не получится, но тут есть НО (большое). Если мы говорим, МИТМ на стороне получателя, то подразумеваем, что атакующий котроллирует весь трафик (теоретически), так вот ниже опишу юзкейсы. 1) Атакующий тупо вырезает из заголовком подпись, сработает атака? ДА - минус DKIM-а в том, что получатель понятия не имеет о том, что, должно ли быть подписано сообщение или нет (Если только не описано какими-либо другими правилами, к примеру DMARC). Вырезав подпись - теряем DKIM селектор, и не знаем куда за днс записью обратиться, чтобы взять ключ. 2) Атакующий не вырезает, а подменяет подпись на свою, чтобы не вызывать подозрений, и тем самым подделывает ключ в ответе от днс сервера. Учитывая, то, что получатель идёт по селектору за ключём через днс запрос, то атакующий легко подменяет и ключ (публичный ключь) только в том случае, если днс ответы сами не подписаны механизмом к примеру DNS-SEC. Вывод: механизм DKIM - полная лажа. Даже в связке DMARC+DKIM (DMARC dkim=s, письма с этого домена обязательно должны быть подписаны), но без DNS-SEC - полная лажа. Ситуацию с TLS(STARTTLS) не рассматриваю, потому-что изначально оговорено, что атакующий контроллирует трафик, даже TLS.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от Sw00p aka Jerom (?), 15-Май-18, 16:30
	> То что DKIM подписывает исключительно заголовки (и то не все, обычно: h=Content-Type:MIME-Version:Date:Message-ID:Subject:From:To;) > не слышал? нее, не читал!!! https://www.ietf.org/rfc/rfc6376.txt
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	64. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от КО (?), 16-Май-18, 08:46
	>DKIM? О_о - не не слышал:) И при чем тут это? Письмо отправляет атакующий от себя. Зачем ему этот Ваш DKIM? Он не пытается выдать себя за адресата. Он пишет письмо содержащее инструкции почтовому клиенту расшифровать то что он просит и отправить туда куда он просит. Если в клиенте настроено расшифровывать и отправлять на автомате, то - вуаля.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	67. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от Sw00p aka Jerom (?), 16-Май-18, 14:19
	Расшифровать может как и клиент (получатель) так и его pgp шлюз, и тоже самое с DKIM-мом, как сам клиент проверяет DKIM, так же и его шлюз (почтовый). Тут главное выделять где именно происходит МИТМ. Приведу примеры: Пояснения по сокращениям. R - получатель S - отправитель SMTP_R - SMTP сервер получателя SMTP_S - SMTP сервер отправителя Вот обычная схема [R] <-- [SMTP_R] <--INTERNET-- [SMTP_S] <-- [S] Отсюда видно, что MiTM (теоретически) можно произвести в трёх местах. В нашем случае (перехват расшифрованного письма) MiTM должен быть между [R] <-- [SMTP_R], потомучто именно либо в конечной точке [R] происходит расшифровка, либо на [SMTP_R] в случае корпоративного PGP шлюза, и схема примет вид: [R] <--[MiTM]--- [SMTP_R] <--INTERNET-- [SMTP_S] <-- [S] Беспомощность DKIM-а описал выше.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема