アカウント名:
パスワード:
PGPは、Enigmail 2.0 (2018/3/25リリース)以降で修正済み。よって、EFF推奨のEnigmailの無効化ではなく、バージョンアップするべき。S/MIMEは、修正予定のThunderbird 52.8が出るまでの間、HTMLメールを無効にすれば緩和できるそうです。https://twitter.com/kitagawa_takuji/status/996205252230594560 [twitter.com]
別にHTMLメールを無効にしなくても、リモートコンテンツのロードを無効にすればOKでしょ。そもそもリモートを許可してると、スパマーなんかにメールアドレスの存在や開封までがバレてしまう。セキュリティ的にも無効にしておくべきだと思ってるけど、どのメールアプリもデフォルトで有効なのかな。
少なくともThunderbirdはデフォルトでブロックするはずhttps://support.mozilla.org/ja/kb/remote-content-in-messages [mozilla.org]
つーか任意コード実行なんかだったらともかく、この脆弱性で代替手段すら提示せず直ちに使用中止しろというのがそもそも意味わからない。別に平文メールより危険になるわけでもないのに。
例えば、過去に攻撃者が盗聴などによって暗号化メールを入手済みだったとして、今まではそれを解読するには何十年というCPU時間をかけて解読する必要があった。
これからはこの脆弱性のおかげで一瞬で解読できるようになった。過去に盗聴した暗号化メールをそのまま被害者本人に送りつければ、被害者本人のメールクライアントが自動的に解読して返信してくれるようになった。それがEFAIL。
でも、「過去に盗聴した暗号化メール」を将来的に復号するために保存しておく、という組織って世界でも限られてそう。そんな目先の利益にならないものを大量に保存できるとこなんて、米中露あたりのサイバー監視組織くらいじゃね。
それか、民間でもピンポイントでターゲット絞って盗聴してるんかねぇ。
/PGP脆弱性待ちファイル/2018/5/17/JP/xxxxxx.eml/TLS脆弱性待ちファイル/2018/5/17/US/xxxxx.html
とか管理してるのかな。
戦時中の暗号解読のノウハウを漏れ聞くだけで、暗号文の収集は暗号解読に置いて非常に重要だったことが容易に分かる。脆弱性を知って初めて手を出すようなやつはそりゃ収集してないだろうが、本気で暗号解読の意思を持っていたやつなら収集していると思うべき。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
Thunderbirdの情報 (スコア:4, 参考になる)
PGPは、Enigmail 2.0 (2018/3/25リリース)以降で修正済み。
よって、EFF推奨のEnigmailの無効化ではなく、バージョンアップするべき。
S/MIMEは、修正予定のThunderbird 52.8が出るまでの間、HTMLメールを無効にすれば緩和できるそうです。
https://twitter.com/kitagawa_takuji/status/996205252230594560 [twitter.com]
Re: (スコア:0)
別にHTMLメールを無効にしなくても、リモートコンテンツのロードを無効にすればOKでしょ。
そもそもリモートを許可してると、スパマーなんかにメールアドレスの存在や開封までがバレてしまう。
セキュリティ的にも無効にしておくべきだと思ってるけど、どのメールアプリもデフォルトで有効なのかな。
Re: (スコア:0)
少なくともThunderbirdはデフォルトでブロックするはず
https://support.mozilla.org/ja/kb/remote-content-in-messages [mozilla.org]
つーか任意コード実行なんかだったらともかく、この脆弱性で代替手段すら提示せず直ちに使用中止しろというのがそもそも意味わからない。別に平文メールより危険になるわけでもないのに。
Re: (スコア:0)
例えば、過去に攻撃者が盗聴などによって暗号化メールを入手済みだったとして、
今まではそれを解読するには何十年というCPU時間をかけて解読する必要があった。
これからはこの脆弱性のおかげで一瞬で解読できるようになった。
過去に盗聴した暗号化メールをそのまま被害者本人に送りつければ、
被害者本人のメールクライアントが自動的に解読して返信してくれるようになった。
それがEFAIL。
Re: (スコア:0)
でも、「過去に盗聴した暗号化メール」を将来的に復号するために保存しておく、という組織って世界でも限られてそう。
そんな目先の利益にならないものを大量に保存できるとこなんて、米中露あたりのサイバー監視組織くらいじゃね。
それか、民間でもピンポイントでターゲット絞って盗聴してるんかねぇ。
/PGP脆弱性待ちファイル/2018/5/17/JP/xxxxxx.eml
/TLS脆弱性待ちファイル/2018/5/17/US/xxxxx.html
とか管理してるのかな。
Re:Thunderbirdの情報 (スコア:0)
戦時中の暗号解読のノウハウを漏れ聞くだけで、暗号文の収集は暗号解読に置いて非常に重要だったことが容易に分かる。
脆弱性を知って初めて手を出すようなやつはそりゃ収集してないだろうが、
本気で暗号解読の意思を持っていたやつなら収集していると思うべき。