Beveiligingsexperts zweren bij 20-jaar oude e-mailclient Mutt
Internetgebruikers krijgen regelmatig het advies om de meest recente software te gebruiken, maar in het geval van e-mailclients zweren sommige beveiligingsexperts bij het 20-jaar oude Mutt. Mutt is een kleine tekstgebaseerde e-mailclient voor Unix-systemen. De laatste stabiele versie dateert van 9 juni 2007, hoewel er vorige week nog een nieuwe previewversie verscheen.
Mutt kenmerkt zich vooral door de eenvoud. De software ondersteunt geen HTML of e-mails met JavaScript. Het is ook voor deze reden dat beveiligingsexperts voor Mutt kiezen. "Eenvoud is security", zegt Marek Tuszynski van het Tactical Technology Collective tegenover Vice Magazine. Tools die vanaf de command line draaien kenmerken zich door een eenvoudiger ontwerp, minder regels code en de afwezigheid van kwetsbare code zoals Java of Flash. Daardoor zullen dit soort programma's in het algemeen minder bugs bevatten en stabieler zijn.
Beveiligingsonderzoeker Christopher Soghoian stelt dat hij niet wil dat zijn e-mailclient ook de rendering engine van een webbrowser bevat of JavaScript kan verwerken. "Hoe kleiner het aanvalsoppervlak des te beter", zo laat hij weten. Mutt bestaat uit "slechts" 100.000 regels code. Veel minder dan de 14 miljoen regels van Firefox en de 17,4 miljoen van Chromium, de opensourcebrowser die de basis voor Google Chrome vormt. Vanwege het spartaanse uiterlijk en werking is het gebruik van command line tools zoals Mutt vooral beperkt tot technische gebruikers, ook al bieden ze meer veiligheid dan de programma's waar de massa's mee werken.
Reacties (22)
07-09-2015, 17:55 door
[Account Verwijderd]
-
Bijgewerkt: 07-09-2015, 17:56
[Verwijderd]
Mooi stukje software waar iets als thunderbloat niet tegen op kan. Het doet uitsluitend waar het voor bedoeld is; mail lezen ofwel plaintekst ophalen van een server en deze naar het scherm schrijven. Super dat de ontwikkelaar er niet het bijltje bij neergooit omdat er cosmetisch mooiere producten zijn; niet iedereen vind eye candy van toegevoegde waarde.
Het 23 jaar oude Lynx is ook een voorbeeld van functionaliteit; aleen werkt het bij de meeste sites niet meer omdat die meer bagger code gebruiken dan nuttige tekst.
Het 23 jaar oude Lynx is ook een voorbeeld van functionaliteit; aleen werkt het bij de meeste sites niet meer omdat die meer bagger code gebruiken dan nuttige tekst.
Ik gebruik sinds begin '90 jaren Pegasus Mail. Het ziet er wat spartaans uit, maar doet waarvoor het gemaakt is.
Geen toeters en bellen, maar een aantal ingebouwde veiligheidsfunties.
Geen zelfstartende exe, scripts etc. Alles opgeslagen in platte tekst.
Betreft het een mail, die een ander niets aangaat, dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.
Links:
https://nl.wikipedia.org/wiki/Pegasus_Mail
http://www.pegasusmail.nl/index.php
Geen toeters en bellen, maar een aantal ingebouwde veiligheidsfunties.
Geen zelfstartende exe, scripts etc. Alles opgeslagen in platte tekst.
Betreft het een mail, die een ander niets aangaat, dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.
Links:
https://nl.wikipedia.org/wiki/Pegasus_Mail
http://www.pegasusmail.nl/index.php
07-09-2015, 18:59 door
Ron625
Nu krijg ik heimwee naar Agent en Free-Agent ......
Je kan met mutt gewoon elinks in je mailcap aanroepen en zo html renderen.
Verder is het nog steeds de snelste MUA en in combinatie met offlineimap en msmtp rete snel!
Verder is het nog steeds de snelste MUA en in combinatie met offlineimap en msmtp rete snel!
Mutt en slrn, nog steeds dagelijks in gebruik.
Html had nooit maar dan ook nooit in mail mogen zitten.
Html had nooit maar dan ook nooit in mail mogen zitten.
de vergelijking is ook een topper. vergelijk de email client mutt die zo weinig mogelijk moet behalve tekst weergeven met een browser. een product dat juist zoveel mogelijk moet kunnen.
Door Anoniem: de vergelijking is ook een topper. vergelijk de email client mutt die zo weinig mogelijk moet behalve tekst weergeven met een browser. een product dat juist zoveel mogelijk moet kunnen.
Ga ze eens de kost geven die e-mail tegenwoordig met een browser uitlezen. Dat is anno 2015 heel normaal.Ook bijv. e-mailclient Thunderbird is op de Firefoxbrowser gebaseerd.
De vergelijking van mutt met browsers is dus helemaal zo gek nog niet.
De vraag die dan nog overblijft is:
zou je voor e-mailgebruik niet liever een eenvoudige e-mailclient willen gebruiken i.p.v. je browser?
En "mutt" mag dan goed werken voor linux-achtige omgevingen maar
bestaat er ook zoiets voor Windows dat net zo vertrouwd is, en dat ook goed onderhouden is?
Is dat misschien Pegasus mail? Of bestaat er nog iets beters?
Goeroehoedjes
Het is natuurlijk allemaal waar wat ie zegt, er is geen speld tussen te krijgen, alleen het is zo zinloos allemaal. Het is als zeggen dat je fiets veiliger is als je hem in je afgesloten kelder laat staan en hem niet 's nachts aan een lantaarnpaal in een achterbuurt van Rotterdam laat staan. Leuk en waar, maar daarvoor bezit je geen fiets. Mensen die genoegen nemen met de functionaliteit van Mutt, en die dat kunnen vinden, installeren en configureren, zijn niet de mensen die met Firefox of Chrome uberhaupt veel gevaar lopen. Nog afgezien ervan dat browsers niet primair bedoeld zijn voor het lezen van mail, maar voor het bekijken van websites en waar dus ook een heel ander pakket van eisen aan vast hangt. En daarnaast is er ook nog het punt dat Mutt niet de functionaliteit bied die de gemiddelde gebruiker verwacht van een mailclient, namelijk dat 'ie gewoon z'n mail kan lezen, inclusief de linkjes naar de kattenfoto's van zijn nichtje en het html formaat van zijn moeder. En als laatste, als ik toch aan het klagen ben, is de stelling "beveiligingsexpert zweren bij mutt" ook onzin, er zijn genoeg beveiligingsexperts die helemaal geen Mutt gebruiken maar andere beproefde oplossingen, zoals outlook en telnet naar poort 110.
Hier gebruik ik nog steeds Eudora. (betaalde versie).
Geen flash of rare HTML code in mailtjes.
Krachtig en eenvoudig. (en échte ellende verwijder ik op voorhand met mailwasher ;)
Geen flash of rare HTML code in mailtjes.
Krachtig en eenvoudig. (en échte ellende verwijder ik op voorhand met mailwasher ;)
Door Anoniem: de vergelijking is ook een topper. vergelijk de email client mutt die zo weinig mogelijk moet behalve tekst weergeven met een browser. een product dat juist zoveel mogelijk moet kunnen.
Viel mij ook meteen op; appels en peren lijken nog meer op elkaar...Verder denk ik met weemoed terug aan Eudora, mijn allereerste e-mail client.
<edit> Ik bedoel de versie die ik begin jaren '90 op mijn Euronet account gebruikte... </edit>
08-09-2015, 09:04 door
johanw
Door Anoniem:dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.
Dat is wel heel antiek, daar is nu juist public-key cryptografie voor uitgevonden. En als je door de politie getapt wordt luisteren die zowel je gsm als je internet af dus dan hebben ze je sleutel ook.Men vergelijkt regelscode in een email client met regelscode in twee browsers?
Anyway, opendeuren journalistiek...
Anyway, opendeuren journalistiek...
Je moet jezelf afvragen...
Waar heb ik E-mail voor?
Heb ik E-mail voor flashy dingetjes die 1000 tot 100.000 x de bandbreedte verbruiken van de daadwerkelijke boodschap?
Of heb ik E-mail voor de boodschap?
Vandaag een E-mail ontvangen. De boodschap was "Which meeting do you refer to?". 30 bytes waard aan data. wat vervolgens verpakt wordt in een bericht van 54kb? Waar zijn we nu helemaal mee bezig?
En dit is nog een klein bericht...
We zijn zo'n sloddervossen op digitaal gebied geworden...
Als je een kromme analogie zou gebruiken, zou je dit kunnen vergelijken met het kopen van een auto voor een flesje cola, en de auto weggooien.
Dan denk je 'wat een mafkees'... Maar dat is wat er elke dag gebeurt op internet. En voor elke E-mail, en god weet nog wat meer voor overbodige troep deze verhoudingen gelden.
Waar heb ik E-mail voor?
Heb ik E-mail voor flashy dingetjes die 1000 tot 100.000 x de bandbreedte verbruiken van de daadwerkelijke boodschap?
Of heb ik E-mail voor de boodschap?
Vandaag een E-mail ontvangen. De boodschap was "Which meeting do you refer to?". 30 bytes waard aan data. wat vervolgens verpakt wordt in een bericht van 54kb? Waar zijn we nu helemaal mee bezig?
En dit is nog een klein bericht...
We zijn zo'n sloddervossen op digitaal gebied geworden...
Als je een kromme analogie zou gebruiken, zou je dit kunnen vergelijken met het kopen van een auto voor een flesje cola, en de auto weggooien.
Dan denk je 'wat een mafkees'... Maar dat is wat er elke dag gebeurt op internet. En voor elke E-mail, en god weet nog wat meer voor overbodige troep deze verhoudingen gelden.
Ik denk niet dat deze beveiligingsexperts ook daadwerkelijk de versie van Mutt uit 1995 draaien. Zij draaien natuurlijk een veel recentere versie. Om dan te zeggen dat zij de 20 jaar oude e-mail client prefereren is overdreven.
Ter vergelijking: de eerste versie van Microsoft Outlook is uit 1992, dus we kunnen stellen dat bedrijven de 23-jaar oude e-mail client Outlook prefereren. Of de eerste versie van Mozilla Thunderbird stamt uit 2003, dus veel gebruikers zweren bij de 12-jaar oude e-mail client Thunderbird.
De versie van Mutt die ik draai is gewoon van 31 Augustus (Mutt 1.5.24), dus voor mij is het de 1-week-oude e-mail client Mutt.
Ter vergelijking: de eerste versie van Microsoft Outlook is uit 1992, dus we kunnen stellen dat bedrijven de 23-jaar oude e-mail client Outlook prefereren. Of de eerste versie van Mozilla Thunderbird stamt uit 2003, dus veel gebruikers zweren bij de 12-jaar oude e-mail client Thunderbird.
De versie van Mutt die ik draai is gewoon van 31 Augustus (Mutt 1.5.24), dus voor mij is het de 1-week-oude e-mail client Mutt.
Door Anoniem: Ik gebruik sinds begin '90 jaren Pegasus Mail. Het ziet er wat spartaans uit, maar doet waarvoor het gemaakt is.
Geen toeters en bellen, maar een aantal ingebouwde veiligheidsfunties.
Geen zelfstartende exe, scripts etc. Alles opgeslagen in platte tekst.
Betreft het een mail, die een ander niets aangaat, dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.
Links:
https://nl.wikipedia.org/wiki/Pegasus_Mail
http://www.pegasusmail.nl/index.php
Geen toeters en bellen, maar een aantal ingebouwde veiligheidsfunties.
Geen zelfstartende exe, scripts etc. Alles opgeslagen in platte tekst.
Betreft het een mail, die een ander niets aangaat, dan is er een ingebouwde versleutelroutine. Stuur de sleutel via een ander niet-internetkanaal bv sms, dan hebben diverse gluurders het voor het nakijken.
Links:
https://nl.wikipedia.org/wiki/Pegasus_Mail
http://www.pegasusmail.nl/index.php
Als ik me niet vergis ook geen (secure) imap ondersteuning, iets dat Windows mailclients als thunderbird dan weer wel hebben. Dat is jammer want zo wordt je toch weer gedwongen de bloatware van Mozilla te gebruiken.
"Als ik me niet vergis ook geen (secure) imap ondersteuning, iets dat Windows mailclients als thunderbird dan weer wel hebben. Dat is jammer want zo wordt je toch weer gedwongen de bloatware van Mozilla te gebruiken."
This tutorial will show you how to configure an IMAP email account with SSL in Pegasus mail:http://www.youtube.com/watch?v=5wFPYTw-L3k
Anders nog iets? ;-)
Door Muria:Ik ga zelf echter eerder voor de nog veiliger oplossing: tegels met uitgehouwen tekst met aangetekende bezorging.
Je kunt niet bij de postbode aangeven dat je alleen aangetekende bezorging wilt. Als er dus een spam aanval uitgevoerd wordt, ben je kapitalen kwijt aan kosten om je junk folder te kunnen legen.
Peter
Door Anoniem:
Je kunt niet bij de postbode aangeven dat je alleen aangetekende bezorging wilt. Als er dus een spam aanval uitgevoerd wordt, ben je kapitalen kwijt aan kosten om je junk folder te kunnen legen.
Peter
Spam aanval?... Hoezo? Door Muria:Ik ga zelf echter eerder voor de nog veiliger oplossing: tegels met uitgehouwen tekst met aangetekende bezorging.
Je kunt niet bij de postbode aangeven dat je alleen aangetekende bezorging wilt. Als er dus een spam aanval uitgevoerd wordt, ben je kapitalen kwijt aan kosten om je junk folder te kunnen legen.
Peter
Het kost in de eerste plaats grof geld om de tegels aan te schaffen, te bewerken en te laten bezorgen.
Spam wordt juist veroorzaakt omdat e-mailtjes sturen zo gemakkelijk en goedkoop is.
Het "uitgehouwen tegel"-idee lost dus ook meteen het spamprobleem op. :-)
Door Anoniem:
http://www.youtube.com/watch?v=5wFPYTw-L3k
Anders nog iets? ;-)
"Als ik me niet vergis ook geen (secure) imap ondersteuning, iets dat Windows mailclients als thunderbird dan weer wel hebben. Dat is jammer want zo wordt je toch weer gedwongen de bloatware van Mozilla te gebruiken."
This tutorial will show you how to configure an IMAP email account with SSL in Pegasus mail:http://www.youtube.com/watch?v=5wFPYTw-L3k
Anders nog iets? ;-)
...Een guide hoe dat met TLS lukt ;-)
Maar serieus, bedankt voor de tip; heb Pegasus in het verleden genegeerd vanwege het gebrek aan secure IMAP. Nu ondersteund zelfs Mercury Mail het. Top; Mozilla spullen waren namelijk aan een waardig alternatief toe. Nu nog TLS en PGP support erin en het programma is de perfecte mailclient voor Windows.
Nu nog TLS en PGP support erin en het programma is de perfecte mailclient voor Windows.
In ieder geval bestaan er plugins voor PGP-support: http://www.pmail.com/links_enc.htmEn ik zag dat er net een nieuwe versie van Mercury mail uit is (v 4.80), met vermelding van o.a. deze realease note:
"All Mercury modules that support secure connections using SSL/TLS now use the industry-standard OpenSSL libraries to do so"
http://www.pmail.com/m32_480.htm
Klinkt dat hoopvol of wel? :-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
