Security des tages

Benutzt hier jemand „enigmail“ im thunderbird?

Advertisements

Security des tages

Ich muss ja eigentlich in meinem üblichen duktus fragen: nutzt hier jemand den „thunderbird“ für seine mäjhl? Aber die frage muss an dieser stelle ein bisschen genauer gestellt werden:

Da das Scripting im Mailclient standardmäßig deaktiviert ist, soll sich ein Angriff nicht über Mails einleiten lassen

Ist jemand so doof, seine mäjhlsoftwäjhr freiwillig und absichtlich so zu konfigurieren, dass javascript in mäjhls ausgeführt wird? Und wenn ja: warum zum hackenden henker? Schon HTML-mäjhl ist eine sinnlose seuche, die direkt zum käsigen zerfall der privatsfäre führt. Man kann alles in einer guten, alten textmäjhl sagen. Wenn stark formatierte dokumente wirklich einmal erforderlich sind, kann man sie immer noch anhängen. Die einzigen auf dieser welt, die so eine rotzkacke wie HTML-mäjhl brauchen, sind widerliche werber und verbrecherische spämmer, die über webbugs heimlich zurückfunken lassen, dass die mäjhl angekommen ist und betrachtet wird. (Bei mir gehen HTML-formatierte mäjhls automatisch und ungelesen in den müll — es ist eh nur mäjhl von reklameheinis und von idjoten, die meine mäjhladresse auf ihrem scheißwischofon benutzen.) Wer daran noch nicht genug hat, aktiv dafür sorge trägt, dass auch noch javascript in mäjhls ausgeführt wird und dann wegen dieser seiner totalblödheit gepwnt wird, bekommt kein mitleid von mir gespendet. Ganz im gegenteil. Leute, die so doof sind, sollten sich vielleicht besser eine andere beschäftigung als kompjuter und internetz suchen. Zum beispiel eine modelleisenbahn. Oder eine gummipuppe.

Übrigens: natürlich ist skripting in mäjhl beim „thunderbird“ standardmäßig abgestellt, und externe inhalte in HTML-formatierter mäjhl werden vom „thunderbird“ nicht angezeigt, so dass die empfängerüberwachenden webbugs nicht funkzjonieren.

Benutzt hier jemand den thunderbird?

[…] wurden neun Sicherheitslücken geschlossen, von denen fünf die höchste Gefahreneinstufung erhalten haben

Hui, speicherbereiche wurden nach der freigabe einfach weiterbenutzt… holt euch bloß schnell die aktuelle versjon, am besten genau jetzt! Die leute, die solche sicherheitslücken ausnutzen, um euch verschlüsselungstrojaner und dergleichen zu installieren, schlafen nämlich nicht.

Übrigens: alle wirklich üblen fehler scheinen in irgendeinem zusammenhang mit HTML-mäjhl und CSS zu stehen. Das ist der grund, weshalb man keine HTML-mäjhl verwendet. (Wenn man ein stark formatiertes dokument versenden will, kann man es auch anhängen.)

Digital signierte mäjhls „von“ Barack Obama…

…kann man jetzt bekwem selbst schreiben und „thunderbird“-nutzern als autentisch unterjubeln. Das geht natürlich auch mit anderen absendern, zum beispiel mit einer bank, die „wegen technischer probleme“ dazu auffordert, doch mal bitte auf einen link zu klicken und ein paar angaben zum konto zu machen. Aus nutzersicht wirkt der gefälschte absender der mäjhl echt und durch digitale signatur bestätigt…

Ich bin gespannt, wann ich den ersten phishing-versuch mit digitaler signatur sehen werde. (Vermutlich lange bevor dieser fehler im „thunderbird“ gefixt wird, denn bei der „mozillla foudation“ finanziert ja guhgell mit, und guhgell hat viel eigeninteresse daran, dass die leute ihre mäjhl über irgendwelche web-anwendungen machen…)

Mozilla!

Ich kann nur hoffen, dass von euch niemals jemand das zählen erlernen wird. Sonst geht das noch wie die versjonsnummern vom „thunderbird“: 13, 14, 17, 24…

Hach, was waren das für schöne zeiten, als man an den versjonsnummern noch so etwas wie einen technischen stand erahnen konnte. Inzwischen wird in einer nicht mehr weiterentwickelten softwäjhr wie „thunderbird“ nach einpflegen von ca. 1000 fixes von versjon 17 auf versjon 24 gesprungen. Ohne sinn und verstand. Ganz so, als würden da irgendwelche blendsüchtigen kaufleute über die versjonsnummer entscheiden. Gehts noch?!

Der verlorene index

Nichts gegen den „thunderbird“, das ist ein guter mäjhlkeiend. Aber wenn der mal abgekackt ist — das kommt zwar selten, aber doch immer wieder einmal vor — denn lässt er alle indexdateien für die ordner in einem zerschossenen zustand zurück, und das kann hirnen.

Ich habe natürlich hunderte von einzelnen filterregeln. Die meisten legen bestimmte absender in bestimmten ordnern ab, damit ich keine macke von meinem mäjhlaufkommen kriege. Und wenn die indexdatei in ordnung ist, denn sehe ich das daran, dass der ordnername fett ist und in klammern die anzahl der neuen mäjhls aufgeführt wird. Wenn die indexdatei zerschossen ist, denn sehe ich das gar nicht. Erst, wenn ich den ordner, in dem scheinbar nichts geschieht, anklicke, kriege ich in der statuszeile die meldung „zusammenfassungsdatei wird erstellt“ und darf dem donnervogel beim durchatmen zuschauen — danach habe ich für diesen ordner wieder meine vertraute darstellung und sehe auch, dass etwas neues gekommen ist.

So etwas ist mir neulich passiert, als es um die vorbereitung eines gemeinsamen aprilscherzes ging. (Kommt ja morgen, lasst euch überraschen.) Ich habe die mäjhl zwar bekommen, aber nicht bemerkt, und in der folge war das gegenseitige unverständnis groß. Die übliche scheiße, die immer wieder passiert, wenn man compjuter zum kommunizieren benutzt.

Wenn das problem auftritt, ist es übrigens ganz einfach, die indexdateien für alle ordner neu zu erzeugen. Hierzu reicht es, alle ordner mit der suchen-funkzjon zu durchsuchen, für jeden ordner wird dabei im hintergrund der index wiederhergestellt. Warum dieses verkackte programm so etwas nicht von allein hinkriegt, bleibt allerdings das geheimnis der programmierer.

Ich hoffe, es hilft auch anderen. (Aber heute scheint ja die mehrheit der compjuternutzer gar nicht mehr zu wissen, was ein mäjhlkleiend ist und dass es so tolle filterregeln gibt.)