image

Hoogleraar: Enige veilige e-mail is text-only e-mail

dinsdag 12 september 2017, 12:26 door Redactie, 41 reacties

Huidige webgebaseerde e-maildiensten zijn elektronische mijnenvelden die mensen verleiden om op linkjes te klikken, waardoor ze uiteindelijk slachtoffer van phishing en andere scams worden. De enige veilige e-mail is dan ook text-only e-mail, zo stelt Sergey Bratus, hoogleraar informatica aan Darthmouth College, een universiteit in de Verenigde Staten. Bratus houdt zich bezig met onderzoek naar malwaretechnieken.

Tegenwoordig is er veel aandacht voor het onderwijzen van gebruikers om niet op de verkeerde dingen te klikken. Volgens Bratus ligt het werkelijke probleem bij de e-mailclients die mensen gebruiken. Het gaat zowel om webgebaseerde e-maildiensten als programma's voor de desktop, zoals Outlook, die berichten op dezelfde onveilige wijze weergeven. De meeste e-mailprogramma's ondersteunen standaard html en andere opmaak. Het is hierdoor eenvoudig om malafide links aan een bericht toe te voegen die onschuldig lijken.

Bratus pleit dan ook voor een terugkeer naar text-only e-mail, waarbij een bericht alleen uit platte tekst zonder opmaak bestaat. Dat is namelijk de enige veilige e-mail, aldus de hoogleraar. "De terugkeer naar de oorsprong van e-mail in platte tekst lijkt misschien radicaal, maar het biedt radicaal betere veiligheid." Door het gebruik van platte tekst wordt het voor gebruikers veel duidelijker als er kwaadaardige scripts of malafide links aan een bericht zijn toegevoegd.

"De enige manier om veilig te zijn in de huidige webmailomgeving is de vaardigheden van een professionele webontwikkelaar te leren. Alleen dan zullen de lagen van html, JavaScript en andere code duidelijk worden. Alleen dan zullen de gevolgen van een klik van tevoren duidelijk worden", stelt Bratus. Hij vindt dat dit niet van gebruikers verwacht mag worden. De hoogleraar ziet dan ook een rol weggelegd voor softwareontwikkelaars om browsers en webmailsystemen te fixen, zodat gebruikers weten waarheen hun klik leidt.

"Als technologen hebben we al lang geaccepteerd dat sommige technologie gewoon een slecht idee is, zelfs als het er spannend uitziet. De maatschappij moet hetzelfde doen. Securitybewuste gebruikers moeten eisen dat hun e-mailprovider een optie voor platte tekst aanbiedt", gaat de hoogleraar verder. Hij stelt dat dit soort opties helaas erg schaars zijn, maar een belangrijke rol spelen om de onveiligheid van webmail op te lossen. Uiteindelijk zouden e-mailproviders die deze opties niet aanbieden door gebruikers vermeden moeten worden.

Reacties (41)
12-09-2017, 12:30 door Anoniem
Goh. Dat heeft nog niemand eerder opgemerkt.
12-09-2017, 12:41 door Anoniem
No kidding...

Gelukkig kan je HTML ook uit zetten - in elk geval wel in mijn cliënt. Maar ja, met opmaak ziet er zo g**l uit he?
12-09-2017, 12:43 door Anoniem
Van een hoogleraar mag verwacht worden dat die snapt dat de wereld niet alleen gaat om veiligheid maar ook om waar je geld aan kan verdienen.

Fancy mail met plaatjes en linkjes levert meer omzet op en de risico's zijn met miljarden gevallen van slachtoffers acceptabel genoeg om er de voorkeur aan te blijven geven. De voorkeur ligt overduidelijk niet bij afschaffen van fancy mail maar bij de aanschaf van diensten om die mail te detecteren, filteren, onschadelijk te maken enz.
12-09-2017, 12:45 door Anoniem
Een beperkte set van opmaak: vet, cursief, paragraafindeling en eenvoudige lijsten, tabellen lijkt mij veilig te implementeren en biedt daadwerkelijk meerwaarde. Volledig HTML of zelfs JavaScript ondersteunen is inderdaad vragen om problemen.
Als je alternatief biedt dat mensen als beperkend ervaren dan zullen ze het niet gaan gebruiken. Het is dus zoeken naar de gulden middenweg.
12-09-2017, 13:00 door Anoniem
Enige veilige e-mail is text-only e-mail

Dus indien je in plain text iemand een valse factuur stuurt, of deze een bericht stuurt om een nep helpdesk te bellen, waarna je de persoon ransomware laat installeren, dan is dat 'veilig' ? Natuurlijk zijn niet alle dreigingen even gemakkelijk in plain text. Maar de stelling "plain text = veilig" is klinkklare onzin.

Het verminderen van risico's, en het geheel wegnemen van risico's zijn niet hetzelfde.
12-09-2017, 13:18 door Bitwiper
Twintig jaar geleden vond ik ook da e-mail text-only most zijn, maar ik heb mijn mening gewijzigd. Met opmaak kun je gewoon veel beter leesbare e-mails maken.

Jaren geleden was er spam in omloop met versleutelde gezipte bijlagen, met het wachtwoor daarvoor in de body van de mail. Kennelijk zijn mensen zo suf dat ze dan braaf zo'n wachtwoord invoeren om de bijlage uit te kunnen pakken en uitvoeren, want die spams waren "een succes" (voor de verzenders bedoel ik).

De aanpak om het gebruik van e-mail te maken voor gebruikers hoeft dus helemaal niet te helpen. Integendeel, als in de mail staat "kopieer en pak onderstaande link naar je webbrowser" kunnen onervaren mensen zo afgeleid zijn bij het uitvoeren van die taak dat ze zich niet goed realiseren welke site ze gaan bezoeken. Daar komt bij dat ik vind dat webbrowsers veilig genoeg zouden moeten zijn om elke willekeurige link te openen, en gebruikers horen te waarschuwen als er iets niet pluis is (dat begint een klein beetje te komen met waarschuwen als je moet inloggen via http).

En bovendien helpt dit niets tegen spam met kwaadaardige bijlagen (die ik soms zonder onderwerp en/of tekst aangeleverd krijg).
12-09-2017, 13:32 door Briolet
Geen html in mailtjes gaat alleen lukken als de googles dit soort mail gaan blokkeren. Alleen dan zullen massaverzenders besluiten het anders aan te pakken. Als kleine mailproviders dit soort mail zouden weigeren, krijgen ze alleen maar boze klanten.

Ik heb ook kort de optie op mijn mailserver aan gezet om alle html code uit mailtjes te wissen. Vrijwel niets is dan meer leesbaar.
Nu haalt mijn mailserver er alleen nog de webbugs uit (de 1-pixel trackingplaatjes) en plaatst waarschuwingen bij misleidende linken.
12-09-2017, 13:35 door Anoniem
Door Anoniem: Een beperkte set van opmaak: vet, cursief, paragraafindeling en eenvoudige lijsten, tabellen lijkt mij veilig te implementeren en biedt daadwerkelijk meerwaarde.
Die is er en heet MS Outlook, die gebruikt namelijk MS Word om de HTML te renderen.
Oh wacht, MS Outlook heeft de meeste beveiligingsproblemen!
12-09-2017, 13:41 door Anoniem
Door Bitwiper: Twintig jaar geleden vond ik ook da e-mail text-only most zijn, maar ik heb mijn mening gewijzigd. Met opmaak kun je gewoon veel beter leesbare e-mails maken.
Kan ik het met de beste wil van de wereld niet mee eens zijn. De best *leesbare* e-mails zijn platte-teks e-mails.
12-09-2017, 13:47 door Anoniem
Door Anoniem:
Enige veilige e-mail is text-only e-mail

Dus indien je in plain text iemand een valse factuur stuurt, of deze een bericht stuurt om een nep helpdesk te bellen, waarna je de persoon ransomware laat installeren, dan is dat 'veilig' ? Natuurlijk zijn niet alle dreigingen even gemakkelijk in plain text. Maar de stelling "plain text = veilig" is klinkklare onzin.

Het verminderen van risico's, en het geheel wegnemen van risico's zijn niet hetzelfde.

maar de mail zelf is wel veilig
12-09-2017, 14:04 door Anoniem
Door Bitwiper: Twintig jaar geleden vond ik ook da e-mail text-only most zijn, maar ik heb mijn mening gewijzigd. Met opmaak kun je gewoon veel beter leesbare e-mails maken.
Beter leesbare tekst op papier, vast wel. Beter leesbare emails? Nee.

Want comic sans is echt geen verbetering op een fixed-pitch font op een comfortabele leesgrootte.

Buiten dat nogal vaak "opmaak" uitmondt in verzonden worden als multipart-alternative met een lege text/plain. En welke ga ik het eerst zien, denk je? Met mijn textmode client in een xterm.

Daar komt bij dat ik vind dat webbrowsers veilig genoeg zouden moeten zijn om elke willekeurige link te openen,
Vertel het de browsermakers.

en gebruikers horen te waarschuwen als er iets niet pluis is (dat begint een klein beetje te komen met waarschuwen als je moet inloggen via http).
Browsers waarschuwen voor vanalles en nog wat. Met bekend effect.

En bovendien helpt dit niets tegen spam met kwaadaardige bijlagen (die ik soms zonder onderwerp en/of tekst aangeleverd krijg).
MIME uitschakelen. "Text-only", weetsjewel.


Door Briolet: Geen html in mailtjes gaat alleen lukken als de googles dit soort mail gaan blokkeren.
Iedereen die een beetje tech-savvy is kan besluiten om geen html-emailtjes meer te accepteren. Mischien moet je ervoor naar een echte provider, of het desnoods zelf opzetten. Maar het kan prima, en de meeste emails met html zijn toch wel rommel. Je moet ze wel echt weigeren, niet gewoon in de spambox proppen.

Alleen dan zullen massaverzenders besluiten het anders aan te pakken.
Merk op dat je als ontvanger weinig te maken hebt met wat massaverzenders kiezen te doen. Jouw inbox, jouw keuze. En als er maar genoeg mensen html uit de inbox weren, te beginnen met hun provider te vragen om te kunnen weren of het desnoods zelf op te zetten, dan merken de verzenders vanzelf wel dat ze die html moeten laten.

Als kleine mailproviders dit soort mail zouden weigeren, krijgen ze alleen maar boze klanten.
Niet als de klant er zelf om vraagt. Je biedt dus de mogelijkheid en je wijst op het bestaan van de mogelijkheid.

Ik heb ook kort de optie op mijn mailserver aan gezet om alle html code uit mailtjes te wissen. Vrijwel niets is dan meer leesbaar.
Nu haalt mijn mailserver er alleen nog de webbugs uit (de 1-pixel trackingplaatjes) en plaatst waarschuwingen bij misleidende linken.
Je moet ook niet proberen andermans rommel op te ruimen. Je kaatst de rommel gewoon terug.

Wel zul je jouw gebruikers op de hoogte moeten stellen van dat je dit gaat doen, en als bedrijfsmatig, moet je mischien de reglementen aanpassen. Het kan allemaal wel maar je moet wel zorgen dat je mindshare hebt. Zo werkte ik een tijdje voor een webhoster waar zelfs de artsy-fartsy ontwerpers wisten dat sommige formaten gewoon not done waren, en dan vroegen ze de klant vriendelijk om dezelfde inhoud in een meer acceptabel formaat. Dat werkte prima.

(En waar het niet werkt kun je meestal de klant uiteindelijk subtiel lozen. Als je erg afhankelijk bent van een enkele klant is het wellicht toch al tijd wat meer aan aquisitie te trekken.)
12-09-2017, 14:07 door SPer - Bijgewerkt: 12-09-2017, 14:08
Ik heb ook een open deur , de enige veilige mail is snail-mail , jullie weten wel degene met een postzegel en een dichtgeplakte enveloppe.

Veel voordelen :

Geen verdachte linkjes en bijlagen (behalve natuurlijk sommige soorten wit poeder en knallende inhoud)

Zolang je geen afzender vermeld en je de moeite neemt de brief te posten 200 km van je woonplaats en handschoenen draagt, geen dna achterlaat en er voor zorgt dat je print met een printer waar je alle componenten contant hebt betaald zodat ook de geheime watermerken van je printer niet naar jou zijn te herleiden (ook minstens 200 km verderop kopen , maar dan op een plek ver van de plek waar je je mail op de bus hebt gegooid) .
En natuurlijk de handschoenen mee naar huis neemt en ze vernietigt, ben je bijna niet te traceren (en op de fiets natuurlijk) .
;-)
12-09-2017, 14:08 door Anoniem
Je kunt ook overstappen op een analoog leven,schrijven met pen en papier,
maar degene die een analoog leven willen nastreven worden bekritiseerd,in de toekomst gestraft en vervolgt.

De digitale samenleving bouwt en streeft naar een matrix omgeving,waarbij de supermens
centraal moet staan.

De huidige technologie is de grootste ideologie die ons allen gijzelt.

The Matrix
12-09-2017, 14:16 door Anoniem
Een openbaring. Blij dat die het meld :-)
12-09-2017, 14:32 door Anoniem
Door SPer:
En natuurlijk de handschoenen mee naar huis neemt en ze vernietigt, ben je bijna niet te traceren (en op de fiets natuurlijk) .
;-)

Wel je GSM thuislaten bij alle aankopen van printermateriaal en bij het posten van je brieven.
12-09-2017, 14:53 door Anoniem
Buiten dat nogal vaak "opmaak" uitmondt in verzonden worden als multipart-alternative met een lege text/plain. En welke ga ik het eerst zien, denk je? Met mijn textmode client in een xterm.
Dit wordt zooo vaak vergeten... Bij een vorige werkgever heb ik er een taak van gemaakt om bij alle e-mail templates ook de text-only variant na te lopen. Aan de kwaliteit van de text-only variant van de e-mail kan ik vaak wel afleiden hoe goed de interne IT op orde is.
12-09-2017, 15:05 door Anoniem
OEclassic heeft hier aan gedacht:

Read: "Block external content in HTML emails" (option)
- If checked, the program will show a message in offline mode and search for external content. If none is found, message stays in offline mode. If external content is found, a blocked content bar appears above the message - when clicked it puts program in online mode and downloads external images, scripts etc. If the option is unchecked, the program never shows blocked content bar and is always in online mode (images/other content always download automatically). This option can protect you from spammers who use external images to track if you've read a message or not.

Perfecte oplossing.
12-09-2017, 15:24 door Anoniem
Zo zie je maar... ooit ben ik weer hip met Mutt.
12-09-2017, 15:53 door Anoniem
Iedereen die een beetje tech-savvy is kan besluiten om geen html-emailtjes meer te accepteren.

Degene die het meest kwetsbaar zijn, zijn meestal het minst tech-savvy. Denk bijvoorbeeld aan ouderen.
12-09-2017, 15:55 door Anoniem
Zolang vele doorsneegebruikers het verschil tussen login.example.com en login-example.com niet kennen [1], maakt het vrij weinig uit of de URL als HTML clickable link of als plain text in de mail staat. En ook de rekening van de "CEO" als bijlage wordt met text only niet tegengehouden.

Wat mij betreft zouden e-mail clients niet alleen het e-mailadres uit het opgegeven "from"-veld moeten laten zien, maar ook altijd het echte adres uit het "return-path"-veld (of enkel als die twee adressen verschillend zijn). Dat is wat mij betreft een veel effectievere maatregel.

[1] https://www.security.nl/posting/530540/Onderzoek+naar+security-+en+privacymaatregelen+Nederlanders
12-09-2017, 16:50 door Anoniem
Door Anoniem: OEclassic heeft hier aan gedacht:

Read: "Block external content in HTML emails" (option)
- If checked, the program will show a message in offline mode and search for external content. If none is found, message stays in offline mode. If external content is found, a blocked content bar appears above the message - when clicked it puts program in online mode and downloads external images, scripts etc. If the option is unchecked, the program never shows blocked content bar and is always in online mode (images/other content always download automatically). This option can protect you from spammers who use external images to track if you've read a message or not.

Perfecte oplossing.

Nee, want de gebruiker klikt om die external content te zien.
Daarnaast is het tegenwoordig al gebruikelijk dat de gevaarlijke content wordt meegestuurd in de bijlage.

Peter
12-09-2017, 17:08 door Anoniem
Door Anoniem:
Iedereen die een beetje tech-savvy is kan besluiten om geen html-emailtjes meer te accepteren.
Degene die het meest kwetsbaar zijn, zijn meestal het minst tech-savvy. Denk bijvoorbeeld aan ouderen.
Ik denk dat de gewone of kantoorparkvariëteit kantoormuis daar ook nog onder valt.

Je kan je afvragen of je zulke mensen zonder enige opleiding aan het emailen of zelfs in de buurt van een toetsenbord moet laten. Maarja, dan ga je regelrecht tegen de "intuïtief! geen training benodigd!"-marketeering van een zekere fabrikant in. En we weten allemaal, wat de fabrikant ons vertelt is correct.
12-09-2017, 17:21 door Briolet
Door Anoniem: Wat mij betreft zouden e-mail clients niet alleen het e-mailadres uit het opgegeven "from"-veld moeten laten zien, maar ook altijd het echte adres uit het "return-path"-veld (of enkel als die twee adressen verschillend zijn). Dat is wat mij betreft een veel effectievere maatregel.

Het zou nog mooier zijn als je ook zo kunt zien dat de mailtjes via DKIM ondertekend zijn. Dit kan eigenlijk alleen de server betrouwbaar laten zien. Een cliënt kan veel false negatives geven.

Bij webmail op de server kan de DKIM controle achteraf wel. GMail doet dat sinds enige tijd, als je op het kleine driehoekje achter "van mij" klikt. Je ziet dan of de mail wel/niet via een ssl verbinding afgeleverd is en wie de mail gesigneerd heeft. (Mits ondertekend)
12-09-2017, 18:35 door Anoniem
Door Anoniem: Wat mij betreft zouden e-mail clients niet alleen het e-mailadres uit het opgegeven "from"-veld moeten laten zien, maar ook altijd het echte adres uit het "return-path"-veld (of enkel als die twee adressen verschillend zijn). Dat is wat mij betreft een veel effectievere maatregel.
Nooit begrepen waarom email clients nou zonodig met alle geweld de headers willen opleuken tot voorbij het punt dat ze gevaarlijk nutteloos zijn geworden. Zeker (*kuch* bij een zekere client *kuch*) als je gaat printen en er staat alleen het volstrekt arbitraire stuk dat in (meestal volstrekt onnodige) aanhalingstekens met het emailadres wordt meegezonden.

Ik gebruik een client die me laat kiezen welke headers ik wil zien, en de hele collectie is slechts een enkele toetsaanslag verder. Dat heb ik ook wel eens anders gezien. Als je als clientmaker alvast aanneemt dat je gebruikers te teer van gestel zijn voor belangrijke details kun je natuurlijk ook niet verwachten dat je gebruikers moeite zullen doen om alsnog op die details te letten. Waar veel "advies" over "veilig emailen" uiteindelijk toch weer op neerkomt. Dus: Begin met een betere client.
12-09-2017, 18:36 door Anoniem
Nee, want de gebruiker klikt om die external content te zien.
De clou is nou juist dat je dit uit veiligheidsoverwegingen kan laten. Je bent niet verplicht om te klikken om external
content zichtbaar te maken. Een beetje "common sense" heeft men natuurlijk wel nodig.

Daarnaast is het tegenwoordig al gebruikelijk dat de gevaarlijke content wordt meegestuurd in de bijlage.
Als je dat erbij betrekt ben je met zgn "text only" (zonder html) ook niet veilig.
Bijlagen is weer een andere kwestie. Dit topic gaat daar niet over. Het artikel spreekt nergens over bijlagen.
Verder is er geen mailclient die automatisch de bijlage opent.
Het punt is hier dat zoveel mailclients html scripts standaard altijd uitvoeren.
Bij OEclassic kan je (bijv. afhankelijk van de afzender en tekst) heel gemakkelijk per mail kiezen of je ook html bij een mail wilt uitvoeren die internetresources probeert aan te spreken, of niet. En da's gewoon perfect.
Wil iemand geen enkele html uitvoeren, dan kan dat ook. Dan moet je gewoon nooit op die balk klikken.
12-09-2017, 18:54 door Anoniem
Door Anoniem: Zo zie je maar... ooit ben ik weer hip met Mutt.

Privé gebruik ik niet anders, zakelijk ontkom ik eigenlijk niet aan een ander product van een bekende OS bouwer.
12-09-2017, 18:56 door Anoniem
Ik hehaalde in de ProtonVPN discusstie toevallig nog mijn standpunt wat ik al sinds 1998 ingenomen heb.

HTML in mail had nooit toegestaan moeten worden.
12-09-2017, 20:18 door Anoniem
Begin eerst maar eens met het controleren van de afzender van de e-mail, daarmee kan een boel onheil mee worden voorkomen. Het gevaar dat altijd blijft is de schijnveiligheid waaraan men zich overgeeft. Eigen verantwoordelijkheid blijft dan ook een must.

Zoekwoorden: DMARC, SPF, DKIM
Gmail gebruikt de protocollen SPF en DKIM .
Voor Thunderbird is er een DKIM addon.

Dit onderwerp is al eens hier behandelt.
https://www.security.nl/posting/463813/Waarom+DMARC+(%2BSPF+%2BDKIM)
12-09-2017, 20:44 door Anoniem
Door Anoniem: Ik hehaalde in de ProtonVPN discusstie toevallig nog mijn standpunt wat ik al sinds 1998 ingenomen heb.

HTML in mail had nooit toegestaan moeten worden.

Valt best mee. Het gaat om een html subset.
Alleen de links die naar internet verwijzen zijn een risico factor.
Als je offline je mail leest, vermijd je dat risico.

Verder kan het lastig zijn als de html-renderer van de ontvanger gebreken heeft.
Dat is alleen maar lastig als je per se alle html content goed wilt zien.
En een meegestuurde attachment kan niet automatisch worden geopend met html mail voor zover ik weet.

De hamvraag is of iemand wel html nodig heeft om de boodschap over te brengen.
Er word wel vaak onnodig html gebruikt.
12-09-2017, 22:23 door Anoniem
Door Anoniem:
Nee, want de gebruiker klikt om die external content te zien.
De clou is nou juist dat je dit uit veiligheidsoverwegingen kan laten. Je bent niet verplicht om te klikken om external
content zichtbaar te maken. Een beetje "common sense" heeft men natuurlijk wel nodig.
Toch blijft het raar dat er zoiets als "gevaarlijke content" bestaat. Ik zou tenminste verwachten dat mijn client programmas en mijn OS niet spontaan afbranden als ik eens ergens in een email klick. Daarmee is de software gewoon niet minimaal veilig bruikbaar en dus niet goed genoeg voor dagelijks gebruik. Want weet jij veel wat je voor emails binnenkrijgt.

Daarnaast is het tegenwoordig al gebruikelijk dat de gevaarlijke content wordt meegestuurd in de bijlage.
Als je dat erbij betrekt ben je met zgn "text only" (zonder html) ook niet veilig.
Bijlagen is weer een andere kwestie. Dit topic gaat daar niet over. Het artikel spreekt nergens over bijlagen.
Het staat nergens expliciet, maar je kan "text only" ook als "helemaal geen MIME" opvatten. Hij zal dat wellicht niet bedoeld hebben maar het blijft een aanname.

Verder is er geen mailclient die automatisch de bijlage opent.
Nee? Alles dat ook maar enige vorm van "preview" kent doet dat toch wel.

[...] Dan moet je gewoon nooit op die balk klikken.
Ik blijf dat buitengewoon onbeholpen "advies" vinden.

Maar ook technisch is het veel beter die voorkeur terug te communiceren door berichten in html terug te kaatsen. Zeker omdat veel te vaan het text/plain deel van een multipart/alternative leeg verstuurd wordt. Verzenders moeten gewoon weten dat poep in de brievenbus^W^W^W^Whtml in de email [x] ongewenst is.


Door Anoniem:
Door Anoniem: HTML in mail had nooit toegestaan moeten worden.
Valt best mee.
Vind ik niet, eigenlijk.

Alleen de links die naar internet verwijzen zijn een risico factor.
Als je offline je mail leest, vermijd je dat risico.
En dan blijkt je software ineens achter je rug om toch maar weer verbinding gezocht te hebben, en boem, toch weer geinfecteerd. Ofzo.

De hamvraag is of iemand wel html nodig heeft om de boodschap over te brengen.
Er word wel vaak onnodig html gebruikt.
Gewoon html in email verbieden en kijken hoeveel berichten ineens niet meer doorkomen.
13-09-2017, 11:05 door Anoniem
Door Anoniem: Ik hehaalde in de ProtonVPN discusstie toevallig nog mijn standpunt wat ik al sinds 1998 ingenomen heb.

HTML in mail had nooit toegestaan moeten worden.

Zeer domme opmerking! Wat was je standpunt in 1969, bij de start van ARPANET? Mail is een fluke?
Wel met de techniek meegaan. Mensen bekend en verantwoordelijk maken met de gevaren van hun acties. Dat is wat je moet doen. Opleiden en bewust maken. Dat zou een hoogleraar zeker moeten weten. Of is hij administratief medewerker op de hogeschool.
13-09-2017, 11:43 door Anoniem
Door Anoniem:
Door Anoniem: Ik hehaalde in de ProtonVPN discusstie toevallig nog mijn standpunt wat ik al sinds 1998 ingenomen heb.

HTML in mail had nooit toegestaan moeten worden.

Zeer domme opmerking! Wat was je standpunt in 1969, bij de start van ARPANET? Mail is een fluke?
Wel met de techniek meegaan. Mensen bekend en verantwoordelijk maken met de gevaren van hun acties. Dat is wat je moet doen. Opleiden en bewust maken. Dat zou een hoogleraar zeker moeten weten. Of is hij administratief medewerker op de hogeschool.

Ik ga met de techniek mee maar dan moet die techniek wel veilig zijn en dat blijkt in dit geval dus voor de normale gebruiker niet zo te zijn. Het is als oversteken zonder naar links en rechts (rechts en links voor een aantal landen) te kijken, het gaat meestal wel goed. Kennelijk is het in bijna 20 jaar niet gelukt om mensen bewust te maken van de 'gevaren' van een hyperlink in je mail.

ps, Ik stel het op prijs als je niet meteen met dom gaat strooien als mensen een andere opvatting hebben dan jijzelf.
13-09-2017, 12:31 door Anoniem
[
Ik ga met de techniek mee maar dan moet die techniek wel veilig zijn en dat blijkt in dit geval dus voor de normale gebruiker niet zo te zijn. Het is als oversteken zonder naar links en rechts (rechts en links voor een aantal landen) te kijken, het gaat meestal wel goed. Kennelijk is het in bijna 20 jaar niet gelukt om mensen bewust te maken van de 'gevaren' van een hyperlink in je mail.

ps, Ik stel het op prijs als je niet meteen met dom gaat strooien als mensen een andere opvatting hebben dan jijzelf.

Dan ben je zeker ook tegen reizen. Dat gaat al jaren gepaard met dodelijke slachtoffers.
13-09-2017, 13:27 door Anoniem
Zeer domme opmerking!

Waarom gaan sommigen hier altijd anderen persoonlijk aanvallen bij een meningsverschil, met beledigingen als bovenstaande ? Indien je meent dat een ander ongelijk heeft, dan onderbouw je dat met argumenten, en *niet* met het beledigen of kleineren van de ander. Je gelijk haal je door inhoudelijke onderbouwing.
13-09-2017, 13:28 door Anoniem
Valt best mee.
Vind ik niet, eigenlijk.

Wat moet je met dit soort statements. Onderbouw eens *waarom* het wel, danwel niet, mee valt.... Anders heeft een reactie geen enkele meerwaarde voor anderen.
13-09-2017, 13:31 door Anoniem
Van een hoogleraar mag verwacht worden dat die snapt dat de wereld niet alleen gaat om veiligheid maar ook om waar je geld aan kan verdienen. Fancy mail met plaatjes en linkjes levert meer omzet op en de risico's zijn met miljarden gevallen van slachtoffers acceptabel genoeg om er de voorkeur aan te blijven geven.

Wat wil je hiermee duidelijk maken, ik zie geen enkele indicatie dat hij dat niet zou snappen. Maar moet hij daarom zich hierbij neerleggen, en zijn mening voor zich houden ?
13-09-2017, 14:18 door Anoniem
Nee? Alles dat ook maar enige vorm van "preview" kent doet dat toch wel.
Ik heb nog nooit gezien dat buiten mijn wil automatisch een attachment werd geopend.
De "preview" is toch alleen het bijgaande mailbericht? Niet de bijlage zelf.

En dan blijkt je software ineens achter je rug om toch maar weer verbinding gezocht te hebben, en boem, toch weer geinfecteerd. Ofzo.
Laat maar zien dan. Mocht dat gebeuren, dan heb je misschien de verkeerde emailclient?

Maar ook technisch is het veel beter die voorkeur terug te communiceren door berichten in html terug te kaatsen. Zeker omdat veel te vaan het text/plain deel van een multipart/alternative leeg verstuurd wordt. Verzenders moeten gewoon weten dat poep in de brievenbus^W^W^W^Whtml in de email [x] ongewenst is.
Waarom zou je aan spammers laten weten dat je e-mail adres nog bestaat?

Maar anders: oeclassic heeft ook nog een optie om bij een ontvangen html-mail ook in html terug te antwoorden.
Daarentegen is de reply op een "plain text"-mail dan automatisch ook weer in plain text.
Helemaal op maat gesneden voor wie de "poep" terug wil deponeren in de mailbox van de afzender,
maar dan ook nog een beetje nuttig doordat het je reply bevat.
13-09-2017, 14:56 door Anoniem
Door Anoniem:
Nee? Alles dat ook maar enige vorm van "preview" kent doet dat toch wel.
Ik heb nog nooit gezien dat buiten mijn wil automatisch een attachment werd geopend.
De "preview" is toch alleen het bijgaande mailbericht? Niet de bijlage zelf.
Zodra er bijvoobeeld thumbnails van de bijlagen te zien zijn, etc.

Niet dat mijn textmode client zoiets heeft, maar de momenten dat ik "moderne" desktop emulatie moet gebruiken valt het op dat vanalles en nogwat zulke previews heeft.

En dan blijkt je software ineens achter je rug om toch maar weer verbinding gezocht te hebben, en boem, toch weer geinfecteerd. Ofzo.
Laat maar zien dan. Mocht dat gebeuren, dan heb je misschien de verkeerde emailclient?
Mischien wel ja. Maar het punt is dat een hele hoop "gebruiksvriendelijke" software er een handje van heeft zulke ongein uit te halen. Wil je beveiligen, dan kun je er niet blind vanuitgaan dat zulke software dat niet doet.

Waarom zou je aan spammers laten weten dat je e-mail adres nog bestaat?
Niet alle email met html erin is automatisch spam.
13-09-2017, 16:31 door Anoniem
http://www.georgedillon.com/web/html_email_is_evil.shtml

Je weet meestal niet (en kunt ook niet weten) hoe je e-mail client en webmail reageert op al die html dingen.

Er bestaat zoiets als bugs en onwetendheid.

Ik laad altijd mijn emails met POP3, en sluit internet hardwarematig af voor ik de mails ga lezen.

Html mails krijgen geen antwoord van mij. Laat ze maar een plain text mail sturen.

Met plain text mails heb je die idiote risico's niet, en het is simpel en doeltreffend.
13-09-2017, 20:06 door Anoniem
HTML in mail is ook een mooie om te bekijken of iemand de mail al gelezen heeft of om te kijken of een email account nog echt actief is. 1 pixel is al genoeg om dat te detecteren.
19-09-2017, 09:21 door Xenomatrix
Speciaal voor dit soort 'noodgevallen' heb ik nog een bootdisk met MS-DOS6.22 liggen, met een POP3 client erop.
Werkt geweldig.... ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.