#efail
lst_hoe02 at kwsoft.de
lst_hoe02 at kwsoft.de
Di Mai 15 15:06:28 CEST 2018
Zitat von "Walter H." <walter.h at mathemainzel.info>:
> On Tue, May 15, 2018 12:34, lst_hoe02 at kwsoft.de wrote:
>>
>> Zitat von "Walter H." <walter.h at mathemainzel.info>:
>>>
>>> stimmt, im Mail-Header steht aber das
>>>
>>> MIME-Version: 1.0
>>> Content-Disposition: attachment; filename="smime.p7m"
>>> Content-Type: application/pkcs7-mime; smime-type=enveloped-data;
>>> name="smime.p7m"
>>> Content-Transfer-Encoding: base64
>>
>> https://www.ciphermail.com/blog/efail-who-is-vulnerable-pgp-smime-or-your-mail-client.html
>>
>> Der zweite Teil. Dort steht auch warum ein Signatur das ganze umgeht
>> solange die Gültigkeit bzw. die Abwesenheit der Signatur beachtet wird.
>
> ich weiß nicht was Du da liest, aber eine multiplart/mixed Geschichte hat
> mit Mailverschlüsselung reichlich wenig zu tun zum einem, und zum anderen
> habe ich ja bereits erwähnt, daß Mailprogramme mehr als verbugt sind;
Es geht darum das man entweder die MIME Struktur ändert wenn der
Mailclient das toleriert oder das man direkt den verschlüsselten Teil
"ergänzt", was durch CBC wohl möglich ist *ohne* das die Struktur
ungültig wird. D.h. das Argument das es *nur* ein Fehler im Mailclient
ist der die kaputte MIME Struktur akzeptiert ist falsch. Es ist ein
Fehler das man extern (HTML) Inhalte zulässt, aber das war schon immer
ein Fehler.
Mehr Informationen über die Mailingliste postfix-users