E-mails met HTML-opmaak zijn een beveiligingsrisico, zoals de recente EFAIL-aanval heeft laten zien. Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven, zo stelt beveiligingsonderzoeker Hanno Böck. Via de EFAIL-aanval was het in bepaalde gevallen mogelijk om toegang tot de inhoud van versleutelde e-mails te krijgen. Voor het uitvoeren van de aanval werd er van HTML in een e-mail gebruik gemaakt.
Het is niet de eerste keer dat HTML binnen e-mails wordt toegepast voor het uitvoeren van aanvallen. "De kern van het probleem is dat er geen verstandig beveiligingsconcept voor HTML-mails is", zegt Böck. "Het begon met een inherent gevaarlijk concept, het embedden van iets in e-mails dat veel te krachtig is, met alleen vage richtlijnen hoe het beveiligd moet worden."
Het gebruik van HTML binnen e-mails is niet te vergelijken met het volledige spectrum van HTML zoals het op het web wordt ondersteund. "Dus eigenlijk is het een subgroep van HTML. Er is echter geen consensus, en geen specificatie, wat die subgroep zou moeten zijn", gaat de onderzoeker verder. Het uitschakelen van HTML in de e-mailclient is dan ook de veiligste optie. Het is ook een haalbare optie merkt Böck op.
Toch zullen ontwikkelaars van e-mailclients HTML-mails niet opgeven en moet er dus gekeken worden hoe ze te beveiligen zijn. De onderzoeker kijkt naar een RFC-document voor het specificeren van welke HTML en CSS is toegestaan binnen HTML-mails. RFC-documenten komen tot stand door een discussie- en publicatieproces en kunnen uiteindelijk tot een standaard leiden. Een dergelijk RFC-document bestaat echter nog niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.