image

"HTML-mails zijn een risico dat ontwikkelaars niet opgeven"

maandag 2 juli 2018, 11:59 door Redactie, 18 reacties

E-mails met HTML-opmaak zijn een beveiligingsrisico, zoals de recente EFAIL-aanval heeft laten zien. Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven, zo stelt beveiligingsonderzoeker Hanno Böck. Via de EFAIL-aanval was het in bepaalde gevallen mogelijk om toegang tot de inhoud van versleutelde e-mails te krijgen. Voor het uitvoeren van de aanval werd er van HTML in een e-mail gebruik gemaakt.

Het is niet de eerste keer dat HTML binnen e-mails wordt toegepast voor het uitvoeren van aanvallen. "De kern van het probleem is dat er geen verstandig beveiligingsconcept voor HTML-mails is", zegt Böck. "Het begon met een inherent gevaarlijk concept, het embedden van iets in e-mails dat veel te krachtig is, met alleen vage richtlijnen hoe het beveiligd moet worden."

Het gebruik van HTML binnen e-mails is niet te vergelijken met het volledige spectrum van HTML zoals het op het web wordt ondersteund. "Dus eigenlijk is het een subgroep van HTML. Er is echter geen consensus, en geen specificatie, wat die subgroep zou moeten zijn", gaat de onderzoeker verder. Het uitschakelen van HTML in de e-mailclient is dan ook de veiligste optie. Het is ook een haalbare optie merkt Böck op.

Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven en moet er dus gekeken worden hoe ze te beveiligen zijn. De onderzoeker kijkt naar een RFC-document voor het specificeren van welke HTML en CSS is toegestaan binnen HTML-mails. RFC-documenten komen tot stand door een discussie- en publicatieproces en kunnen uiteindelijk tot een standaard leiden. Een dergelijk RFC-document bestaat echter nog niet.

Reacties (18)
02-07-2018, 12:31 door Anoniem
HTML mail mag van mij verdwijnen. Voegt niets toe aan functionaliteit. Jammer dan voor marketing.
02-07-2018, 12:55 door Anoniem
Er zijn wel emailclient --ook GUI-emailclients-- die geen HTML doen in email omdat de gebruikers daar geen zin in hebben. Dus als je als gebruiker je emailveiligheid belangrijk vindt, dan kies je voor zo'n client.
02-07-2018, 13:27 door Anoniem
Hanno Böck heeft helemaal gelijk, hoewel je daar geen beveiligingsonderzoeker voor hoeft te zijn. De HTML-set is vandaagdedag zo uitgebreid dat je deze niet in zijn volledigheid wilt ondersteunen met je e-mailclient. Een e-mailclient zou daarom een whitelist moeten onderhouden.
02-07-2018, 14:09 door Briolet
Door Anoniem: Er zijn wel emailclient --ook GUI-emailclients-- die geen HTML doen

Er zijn ook mailservers die de HTML code naar platte tekst kunnen converteren. Dan weet je zeker dat geen enkele gebruiker nog HTML code ontvangt.

Ik laat mijn mailserver wel bepaalde HTML code eruit halen. (webbugs, scripts, iFrames etc). maar als je alle HTML code er uit stript, wordt veel mail idd erg onleesbaar.
02-07-2018, 16:38 door Anoniem
Door Briolet: Er zijn ook mailservers die de HTML code naar platte tekst kunnen converteren. Dan weet je zeker dat geen enkele gebruiker nog HTML code ontvangt.
Ik wilde dat origineel ook zeggen, want ja, dat kan, met onversleutelde email.

Echter, de context is die van versleutelde email, en daar kan dat niet zomaar.

maar als je alle HTML code er uit stript, wordt veel mail idd erg onleesbaar.
Zolang het over onversleutelde email gaat, kun je je emailserver ook alles met HTML erin laten weigeren met een foutmelding "HTML hier ongewenst!" Dat zouden eigenlijk een flink aantal liefst grote bedrijven moeten doen. En dat zowel bij inkomende als uitgaande email natuurlijk. Gewoon als veiligheidsmaatregel.

Dan krijg je natuurlijk van die gewiekste knutselaars die emailtjes met linkjes erin gaan versturen. Wat mij betreft ook een prima reden om geen zaken te doen met zulk tuigh.
02-07-2018, 18:10 door Anoniem
Ik roep dat al sinds 1998.
Door Anoniem: HTML mail mag van mij verdwijnen. Voegt niets toe aan functionaliteit. Jammer dan voor marketing.

Dat roep ik al sinds 1998.
02-07-2018, 23:03 door Anoniem
Good old Pegasus gebruiken. Kun je schakelen tussen platte tekst en html. Standaard bij mij op platte tekst ingesteld.
02-07-2018, 23:46 door Anoniem
En hoe zit het dan met al die facturen die ik als burger van diverse bedrijven ontvang, waar een betalingsmogelijkheid zoals IDEAL in embedded is.
03-07-2018, 00:42 door Bitwiper
Door Anoniem: Ik roep dat al sinds 1998.
Door Anoniem: HTML mail mag van mij verdwijnen. Voegt niets toe aan functionaliteit. Jammer dan voor marketing.

Dat roep ik al sinds 1998.
Jouw echte naam is Don Quichotte of zo?

De meeste mensen die ik ken willen RTF-achtige opmaakmogelijkheden in e-mail (een proportioneel font, want dat leest pretiiger, maar ook ondersteuning voor een fixed width font om getallen netjes onder elkaar te krijgen, bullets/genummerde lijsten, inspringen, vet/cursief/onderstrepen, met kleuren markeren en embedden van plaatjes).

Van mij hoeft dat geen HTML te zijn (en zeker niet de bezopen drab die Outlook/Word ervan maken) maar er is nou eenmaal geen andere standaard.

Daarnaast bestaat de rest van de wereld voor een groot deel uit mensen die heel andere schriften gebruiken dan je met 128-bit ASCII kunt laten zien (tenzij je ASCII-art kunstenaar bent en niks beter te doen hebt, en de ontvanger van de mail het niet erg vindt om aan de andere kant van de kamer naar haar scherm te kijken om te kunnen zien wat er staat).

Maar succes met jouw mening!

BTW top-posten doe ik, net als bijna ieder ander, ook - in elk geval ik ga niet eerst elke keer elke mail uit een mailwisseling herlezen voor ik bij de laatste aankom. En bij twijfel weet ik met find (van boven naar beneden = van nu naar steeds langer geleden) prima de laatste opmerking over een onderwerp terug te vinden. Indien iemand meerdere vragen stelt in een e-mail, wil ik nog wel eens "interleaved" posten.
03-07-2018, 09:12 door Krakatau
Door Bitwiper:
Door Anoniem: Ik roep dat al sinds 1998.
Door Anoniem: HTML mail mag van mij verdwijnen. Voegt niets toe aan functionaliteit. Jammer dan voor marketing.

Dat roep ik al sinds 1998.
Jouw echte naam is Don Quichotte of zo?

Don Quichot dan toch. Voor de rest ben ik het met je eens. Als men niet eens een parser voor kale HTML - zonder JavaScript - veilig kan krijgen, dan kan men beter stoppen.
03-07-2018, 11:04 door Krakatau - Bijgewerkt: 03-07-2018, 11:05
Door Bitwiper:
Door Anoniem: Ik roep dat al sinds 1998.
Door Anoniem: HTML mail mag van mij verdwijnen. Voegt niets toe aan functionaliteit. Jammer dan voor marketing.

Dat roep ik al sinds 1998.
Jouw echte naam is Don Quichotte of zo?

De meeste mensen die ik ken willen RTF-achtige opmaakmogelijkheden in e-mail (een proportioneel font, want dat leest pretiiger, maar ook ondersteuning voor een fixed width font om getallen netjes onder elkaar te krijgen, bullets/genummerde lijsten, inspringen, vet/cursief/onderstrepen, met kleuren markeren en embedden van plaatjes).

Don Quichot dan toch. Voor de rest ben ik het met je eens. Als men niet eens een parser voor kale HTML - zonder JavaScript - veilig kan krijgen, dan kan men beter stoppen.[/quote]
03-07-2018, 15:46 door Anoniem
Misschien zou onze gewaardeerde vriend Bitwiper hier eens een overzichtje kunnen geven
van hoe of het staat met de algemene veiligheid van e-mail security bij de grote Nederlandse providers?

Een klein aanzetje:

Nog redelijk maar met ruimte voor verbeteringen: https://starttls-everywhere.org/results/?xs4all.nl

Klaar ervoor maar nog zonder policy list: https://starttls-everywhere.org/results/?kpn.com

Niet zo best en een achterblijver, waar het veiliger hops voor e-mail betreft, is online.nl, zie:
https://starttls-everywhere.org/results/?online.nl

Dit ziet er wel veel en veel beter uit: https://starttls-everywhere.org/results/?ziggo.nl

Er is dus hier en daar nog een hele slag te maken, dunkt me,

luntrus
03-07-2018, 19:28 door Anoniem
Door Anoniem: Good old Pegasus gebruiken. Kun je schakelen tussen platte tekst en html. Standaard bij mij op platte tekst ingesteld.
Zelfde met de nieuwe "outlook express classic" of OEClassic (niet van Microsoft) voor win7 t/m win10 en ook nog op XP.
https://www.oeclassic.com/download

Fraaie client en vormgeving, met eigenlijk alles wat je nodig hebt erop en eraan maar niet zo uitgebreid als Pegasus.
Nu versie 2.8 gratis beschikbaar (multilangual waaronder nl / dutch)
Best veilig, niet vatbaar geweest voor bijv. Mailsploit:
https://www.security.nl/posting/541987/Lek+in+e-mailclients+maakt+het+mogelijk+om+afzender+te+spoofen
en Thunderbird wel.
Even de juiste optie instellen voor inkomende mail van HTML naar plain text.
Enige wat volgens mij mist, is een ander cipher kunnen kiezen dan wat je mailprovider als eerste aanbiedt.
04-07-2018, 08:59 door -karma4
Door Anoniem:
Door Anoniem: Good old Pegasus gebruiken. Kun je schakelen tussen platte tekst en html. Standaard bij mij op platte tekst ingesteld.
Zelfde met de nieuwe "outlook express classic" of OEClassic (niet van Microsoft) voor win7 t/m win10 en ook nog op XP.
https://www.oeclassic.com/download

Ja daag! Dat is Microsoft software. Gebruik dan liever het uitstekende Mozilla Thunderbird.

https://support.mozilla.org/nl/kb/thunderbird-installeren-windows
04-07-2018, 11:11 door Anoniem
Door The FOSS:
Door Anoniem:
Door Anoniem: Good old Pegasus gebruiken. Kun je schakelen tussen platte tekst en html. Standaard bij mij op platte tekst ingesteld.
Zelfde met de nieuwe "outlook express classic" of OEClassic (niet van Microsoft) voor win7 t/m win10 en ook nog op XP.
https://www.oeclassic.com/download

Ja daag! Dat is Microsoft software. Gebruik dan liever het uitstekende Mozilla Thunderbird.

https://support.mozilla.org/nl/kb/thunderbird-installeren-windows

Bij Mozilla Dondervogel kan er nog iets meer, maar dat betekent vaak ook: onveiliger omdat er dan ook meer dingen fout kunnen gaan, zoals bij de Mailsploit donderde deze vogel al op zijn gezicht.
Verder hebben eenvoudige mensen er niets aan als ze niet eens weten dat bepaalde functionaliteit bestaat
of niet weten wat ze ermee moeten.

Zo niet de client genoemd "oeclassic" die NIET VAN MICROSOFT is, want Microsoft, en dat weten de slimmerikken onder ons natuurlijk, is allang met zijn Outlook Express mailclient gestopt en is voor Windows 7 en later niet te krijgen.

Een andere softwaremaker (die NIETS met Microsoft te maken heeft) is in dit gat gesprongen en heeft er plezier in gehad om eens een VEILIGE Outlook Express-achtige toppie Client met een hoofdletter te maken, die ze stap voor stap uitbreiden , dus niet haastig op de markt gepleurd maar zoveel mogelijk "safe by design" om niet achteraf nog van alles te moeten bijspijkeren zoals hett brakke Thunderbird.

Voor de allernieuwste versie(s) vraagt men een schappelijk prijsje. Hierin kunnen berichten in de Outbox weer normaal worden bewerkt en je hebt de allernieuwste versie van oec en alle toekomstige versies. Ook is dan de "ad-line" onderin je berichten verdwenen.
Maar hee, oec2.8 is dan ook eigenlijk een probeerversie.

Handmatig (veilige) verbindingen instellen is logisch achteraf, maar kan aanvankelijk wel eens lastig zijn.
Als het werkt, wil dit niet automatisch zeggen dat het veilig werkt.
Op hun website hebben ze een hulp daarvoor, mits je het natuurlijk aandurft om hun je emailadres te geven.
Zelf heb ik het zelfstandig handmatig gedaan met wireshark erbij ter verificatie en dat bleek geen slecht idee.
De automatische instellingen heb ik niet geprobeerd.
En die "phone home" voor updates kan je als echte securitykerel zelf toch nog wel tegenhouden als je die niet wil?
Hoewel ik het met je eens ben dat we daar graag een keuzevakje voor zouden zien.
Maar voor de rest: een heerlijke client wat mij betreft voor mensen die geen nodeloos ingewikkelde client behoeven.

Dus probeer het eens voordat je oordeelt: https://www.oeclassic.com/download
Perfect replacement voor Outlook Express, Windows Mail, Windows Live Mail or Mozilla Thunderbird.
En zo is het in de meeste gevallen.
04-07-2018, 12:16 door Anoniem
Ik ben meer van Sylpheed of Claws-mail als je wat meer features wil. Beiden prima lichtgewicht e-mail clients.
04-07-2018, 15:03 door -karma4
Door Anoniem:
Door The FOSS:
Door Anoniem:
Door Anoniem: Good old Pegasus gebruiken. Kun je schakelen tussen platte tekst en html. Standaard bij mij op platte tekst ingesteld.
Zelfde met de nieuwe "outlook express classic" of OEClassic (niet van Microsoft) voor win7 t/m win10 en ook nog op XP.
https://www.oeclassic.com/download

Ja daag! Dat is Microsoft software. Gebruik dan liever het uitstekende Mozilla Thunderbird.

https://support.mozilla.org/nl/kb/thunderbird-installeren-windows

Bij Mozilla Dondervogel kan er nog iets meer, maar dat betekent vaak ook: onveiliger omdat er dan ook meer dingen fout kunnen gaan, zoals bij de Mailsploit donderde deze vogel al op zijn gezicht.

HTML kan je uitzetten of op simple HTML zetten. Mailsploit? Daar ging destijds vrijwel iedereen bij op de snavel.
05-07-2018, 16:40 door Anoniem
Mailsploit? Daar ging destijds vrijwel iedereen bij op de snavel.
In dat geval heb ik nieuws voor u. https://www.oeclassic.com/news

Kijk eens even wat daar staat over Mailsploit. (artikel 6 dec. 2017)

Doen hoor! Jahaa, echt waar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.