#efail

[Walter H.]

On Tue, May 15, 2018 15:06, lst_hoe02 at kwsoft.de wrote:
>
> Zitat von "Walter H." <walter.h at mathemainzel.info>:
>
>> On Tue, May 15, 2018 12:34, lst_hoe02 at kwsoft.de wrote:
>>>
>>> Zitat von "Walter H." <walter.h at mathemainzel.info>:
>>>>
>>>> stimmt, im Mail-Header steht aber das
>>>>
>>>> MIME-Version: 1.0
>>>> Content-Disposition: attachment; filename="smime.p7m"
>>>> Content-Type: application/pkcs7-mime; smime-type=enveloped-data;
>>>> name="smime.p7m"
>>>> Content-Transfer-Encoding: base64
>>>
>>> https://www.ciphermail.com/blog/efail-who-is-vulnerable-pgp-smime-or-your-mail-client.html
>>>
>>> Der zweite Teil. Dort steht auch warum ein Signatur das ganze umgeht
>>> solange die Gültigkeit bzw. die Abwesenheit der Signatur beachtet wird.
>>
>> ich weiß nicht was Du da liest, aber eine multiplart/mixed Geschichte
>> hat
>> mit Mailverschlüsselung reichlich wenig zu tun zum einem, und zum
>> anderen
>> habe ich ja bereits erwähnt, daß Mailprogramme mehr als verbugt sind;
>
> Es geht darum das man entweder die MIME Struktur ändert wenn der
> Mailclient das toleriert

sagte ja Bug ..., es darf auch ein Fehler geliefert werden ...

> D.h. das Argument das es *nur* ein Fehler im Mailclient
> ist der die kaputte MIME Struktur akzeptiert ist falsch.

Nein das ist der Bug schlechthin;

> Es ist ein Fehler das man extern (HTML) Inhalte zulässt,
> aber das war schon immer ein Fehler.

das kommt davon, wenn Mail clients aus Browsern herausgewachsen sind;
kritischer als das ist die Tatsache, daß ein Mail auch ausführbare Skripte
enthalten kann ...