パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因」記事へのコメント

  • Thunderbirdの情報 (スコア:4, 参考になる)

    by Anonymous Coward

    PGPは、Enigmail 2.0 (2018/3/25リリース)以降で修正済み。
    よって、EFF推奨のEnigmailの無効化ではなく、バージョンアップするべき。
    S/MIMEは、修正予定のThunderbird 52.8が出るまでの間、HTMLメールを無効にすれば緩和できるそうです。
    https://twitter.com/kitagawa_takuji/status/996205252230594560 [twitter.com]

    • by Anonymous Coward on 2018年05月17日 0時38分 (#3409623)

      別にHTMLメールを無効にしなくても、リモートコンテンツのロードを無効にすればOKでしょ。
      そもそもリモートを許可してると、スパマーなんかにメールアドレスの存在や開封までがバレてしまう。
      セキュリティ的にも無効にしておくべきだと思ってるけど、どのメールアプリもデフォルトで有効なのかな。

      親コメント
      • by Anonymous Coward

        少なくともThunderbirdはデフォルトでブロックするはず
        https://support.mozilla.org/ja/kb/remote-content-in-messages [mozilla.org]

        つーか任意コード実行なんかだったらともかく、この脆弱性で代替手段すら提示せず直ちに使用中止しろというのがそもそも意味わからない。別に平文メールより危険になるわけでもないのに。

        • by Anonymous Coward

          いや、過去のメールをけしかけられるとデコードして送信しちゃう(発症したら)

          なので、うかつな状況だと平文よりタチが悪い
          # 平文が安全、という意味ではない、念のため。

          あとTo/Cc(/Bcc)された誰かがひっかかるだけでいいので、最悪の阻止で当座禁止、と言いたくなるのはわかる。(他の人のはメールクライアントがどれなのか不明だからね、Tbが対処されたからって、他のクラアントがされてなければそこから抜けるので...)

          ...と思うがどうだろう

          • by Anonymous Coward

            平文メールを開いたときにも同等の攻撃は可能(ていうかはるかに容易)だから、使用を中止する理由にはまったくならない。

            • by Anonymous Coward

              結果だけでなく当事者の認識の違いは重要だと思うが。

        • by Anonymous Coward

          例えば、過去に攻撃者が盗聴などによって暗号化メールを入手済みだったとして、
          今まではそれを解読するには何十年というCPU時間をかけて解読する必要があった。

          これからはこの脆弱性のおかげで一瞬で解読できるようになった。
          過去に盗聴した暗号化メールをそのまま被害者本人に送りつければ、
          被害者本人のメールクライアントが自動的に解読して返信してくれるようになった。
          それがEFAIL。

          • by Anonymous Coward

            でも、「過去に盗聴した暗号化メール」を将来的に復号するために保存しておく、という組織って世界でも限られてそう。
            そんな目先の利益にならないものを大量に保存できるとこなんて、米中露あたりのサイバー監視組織くらいじゃね。

            それか、民間でもピンポイントでターゲット絞って盗聴してるんかねぇ。

            /PGP脆弱性待ちファイル/2018/5/17/JP/xxxxxx.eml
            /TLS脆弱性待ちファイル/2018/5/17/US/xxxxx.html

            とか管理してるのかな。

            • by Anonymous Coward

              戦時中の暗号解読のノウハウを漏れ聞くだけで、暗号文の収集は暗号解読に置いて非常に重要だったことが容易に分かる。
              脆弱性を知って初めて手を出すようなやつはそりゃ収集してないだろうが、
              本気で暗号解読の意思を持っていたやつなら収集していると思うべき。

          • by Anonymous Coward

            攻撃者が平文でメールを入手できるなら解読の必要すらないわけで。使用を続けたほうが平文より危険になる事例でなければ直ちに使用を中止する理由にまったくならないのは理解できる?

            # どうしてこんな見当外れのクソリプばっかつくんだ

            • by Anonymous Coward

              使用を禁止されたから平文で送ろう!
              という高いセキュリティ意識を持っているのだから大丈夫でしょう。
              その他のセキュリティ意識の低い方々を救済するためにも中止するのは妥当ですね。

アレゲは一日にしてならず -- アレゲ研究家

処理中...