Forum

Florian

  • Zurück in der Zukunft
Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Antwort #34: Mai 04, 2017, 18:57:01
Mailvelope ist ein Browser-Plugin, das den Benutzern die PGP-Verschlüsselung auf Webmail-Portalen ermöglicht, soweit diese das unterstützen.
Nun warnt der Mail-Anbieter Posteo vor der Nutzung von Mailvelope zusammen mit Firefox. Es besteht das Risiko, dass andere Plugins den geheimen Schlüssel abgreifen.
https://www.heise.de/newsticker/meldung/Kritische-Schwachstelle-Posteo-warnt-vor-Firefox-Add-on-Mailvelope-3702915.html

Mein Bauchgefühl ist i.ü., dass ein Browser schon mal per se mit die am stärksten gefährdete Umgebung ist und daher nutze ich Mailveleope genauso wenig wie Webmail-Portale.
_______
"If music be the food of love, play on!”
                         William Shakespeare

Florian

  • Zurück in der Zukunft
Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Antwort #39: Mai 15, 2018, 12:44:30
Aha, nach dem Artikel nahe am FUD schiebt Onkel Heise noch was nach.

Ganz grundsätzlich sollte man keine HTML-Mails verschicken oder empfangen. HTML als Standard für „bunte“ Mails festzulegen, war eine katastrophale Fehlentscheidung. Ebenso grundsätzlich sollte man Bilder höchstens dann manuell nachladen, wenn man dies wirklich will und weiß, woher und warum die Mail kommt.
Außerdem sind zumindest aktuelle Enigmail-Versionen gegen diese Methode - so weit man weiß - immun. Auch hier: Grundsätzlich sollte man seine Software aktuell halten. Zudem könnten auch die Mail-Client-Hersteller dem einen Riegel vorschieben.

Generell frage ich mir, welcher Verschlüssler diese Dinge wohl nicht beachtet. Meiner Erfahrung nach nutzen das nur Leute, die firm genug sind. Habe jedenfalls noch nie eine verschlüsselte HTML-Mail bekommen.

Man kann natürlich noch weiter gehen und zumindest PGP-Texte im Terminal entschlüsseln.
_______
"If music be the food of love, play on!”
                         William Shakespeare

Florian

  • Zurück in der Zukunft
Re: Emails signieren und verschlüsseln (Update: 17.10.10)
Antwort #40: Juni 06, 2018, 15:21:09
Die GPG-Tools, mittlerweile GPG Suite genannt, haben ein Update gg. Efail bekommen und das ergreift u.a. diese Maßnahmen:
Zitat
EFAIL mitigations in GPGMail (10.13 only at the moment)
Remote content is no longer loaded within encrpyted messages
If a message contains more than one encrypted part only the first part is decrypted
In case of mixed content – plain content and encrypted content – the plain content is isolated
Additional mitigations for S/MIME since unfortunately Apple has yet to completely fix EFAIL

Wie dort steht, leider erstmal nur für MacOS 10.13
https://gpgtools.org
_______
"If music be the food of love, play on!”
                         William Shakespeare