アカウント名:
パスワード:
PGPは、Enigmail 2.0 (2018/3/25リリース)以降で修正済み。よって、EFF推奨のEnigmailの無効化ではなく、バージョンアップするべき。S/MIMEは、修正予定のThunderbird 52.8が出るまでの間、HTMLメールを無効にすれば緩和できるそうです。https://twitter.com/kitagawa_takuji/status/996205252230594560 [twitter.com]
別にHTMLメールを無効にしなくても、リモートコンテンツのロードを無効にすればOKでしょ。そもそもリモートを許可してると、スパマーなんかにメールアドレスの存在や開封までがバレてしまう。セキュリティ的にも無効にしておくべきだと思ってるけど、どのメールアプリもデフォルトで有効なのかな。
少なくともThunderbirdはデフォルトでブロックするはずhttps://support.mozilla.org/ja/kb/remote-content-in-messages [mozilla.org]
つーか任意コード実行なんかだったらともかく、この脆弱性で代替手段すら提示せず直ちに使用中止しろというのがそもそも意味わからない。別に平文メールより危険になるわけでもないのに。
いや、過去のメールをけしかけられるとデコードして送信しちゃう(発症したら)
なので、うかつな状況だと平文よりタチが悪い# 平文が安全、という意味ではない、念のため。
あとTo/Cc(/Bcc)された誰かがひっかかるだけでいいので、最悪の阻止で当座禁止、と言いたくなるのはわかる。(他の人のはメールクライアントがどれなのか不明だからね、Tbが対処されたからって、他のクラアントがされてなければそこから抜けるので...)
...と思うがどうだろう
平文メールを開いたときにも同等の攻撃は可能(ていうかはるかに容易)だから、使用を中止する理由にはまったくならない。
結果だけでなく当事者の認識の違いは重要だと思うが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
Thunderbirdの情報 (スコア:4, 参考になる)
PGPは、Enigmail 2.0 (2018/3/25リリース)以降で修正済み。
よって、EFF推奨のEnigmailの無効化ではなく、バージョンアップするべき。
S/MIMEは、修正予定のThunderbird 52.8が出るまでの間、HTMLメールを無効にすれば緩和できるそうです。
https://twitter.com/kitagawa_takuji/status/996205252230594560 [twitter.com]
Re: (スコア:0)
別にHTMLメールを無効にしなくても、リモートコンテンツのロードを無効にすればOKでしょ。
そもそもリモートを許可してると、スパマーなんかにメールアドレスの存在や開封までがバレてしまう。
セキュリティ的にも無効にしておくべきだと思ってるけど、どのメールアプリもデフォルトで有効なのかな。
Re: (スコア:0)
少なくともThunderbirdはデフォルトでブロックするはず
https://support.mozilla.org/ja/kb/remote-content-in-messages [mozilla.org]
つーか任意コード実行なんかだったらともかく、この脆弱性で代替手段すら提示せず直ちに使用中止しろというのがそもそも意味わからない。別に平文メールより危険になるわけでもないのに。
Re: (スコア:0)
いや、過去のメールをけしかけられるとデコードして送信しちゃう(発症したら)
なので、うかつな状況だと平文よりタチが悪い
# 平文が安全、という意味ではない、念のため。
あとTo/Cc(/Bcc)された誰かがひっかかるだけでいいので、最悪の阻止で当座禁止、と言いたくなるのはわかる。(他の人のはメールクライアントがどれなのか不明だからね、Tbが対処されたからって、他のクラアントがされてなければそこから抜けるので...)
...と思うがどうだろう
Re:Thunderbirdの情報 (スコア:0)
平文メールを開いたときにも同等の攻撃は可能(ていうかはるかに容易)だから、使用を中止する理由にはまったくならない。
Re: (スコア:0)
結果だけでなく当事者の認識の違いは重要だと思うが。