Наши проекты Mozilla Россия MozUtil Bugzilla Планета

Полезная информация

В мире Mozilla происходит много интересных событий. Но вам не нужно постоянно посещать новостные сайты, чтобы быть в курсе всех изменений. Зайдите на ленту новостей Mozilla Россия.

Тема закрыта

Страницы: 1

№119-11-2014 00:26:23

Kaban
Участник
 
Группа: Members
Зарегистрирован: 27-07-2006
Сообщений: 136
UA: Seamonkey 2.30

Ахтунг!!! Утечка приватности в почтовом клиенте SM!!!

Доброго времени суток!

Долго сидел на SM 2.23. Недавно сразу перешёл на SM 2.30.

Как известно, почтовый клиент по умолчанию не показывает картинки в сообщениях.

Но есть у меня пара е-мейлов (от надёжных сервисов), в которых картинки в версии SM 2.30 вдруг стали показываться.

Покопался я в исходниках писем и вот какую шнягу обнаружил (ненужное закоментил звёздочками):


Выделить код

Код:

<img src=3D"http://*******.jpg"  border=3D"0" alt=3D"********" class=3D"product-image" s=
tyle=3D"display: block; outline: none; text-decoration: none; -ms-interpola=
tion-mode: bicubic; border-radius: 3px; margin: 0; " />

Везде стоит подозрительное "3D", раньше я такого не видел.

По-моему это очень очень огромная дыра в почтовом клиенте!

Если "отключить" интернет с помощью иконки штепселя справа снизу в окне почтовика, то картинки не показываются.

Кстати, SM гордо пишет "картинки в этом сообщении заблокированы из соображений приватности", но при этом сами картинки показываются.

Ещё раз для ясности: в SM 2.23 картинок нет, в SM 2.30 - есть! Никаких специальных сайтозависимых настроек не используется.

Так что будьте на чеку! И впредь ВСЕГДА отключайте штепсель на подозрительных письмах., а лучше на всех письмах.

Отсутствует

 

№219-11-2014 09:06:20

littleleshy
________
 
Группа: Members
Откуда: Москва
Зарегистрирован: 13-12-2008
Сообщений: 2504
UA: Firefox 35.0

Re: Ахтунг!!! Утечка приватности в почтовом клиенте SM!!!

okkamas_knife пишет

почтовику дожен быть запрещён доступ ко всем портам кроме pop3 imap smtp

Вот это правильно :)

okkamas_knife пишет

заботящиеся о безопасности не юзают новые поделки

Только вот проблема в том, что в старых поделках имеются известные уязвимости и могут эксплуатироваться.
В новых поделках уязвимости закрываются. Да, могут появляться новые, но о они ещё могут быть не обнаружены.
Короче, вероятность словить что-то на новой поделке ниже, чем на старой.
ЗЫ: а если картинки в base64, они будут отображаться при заблокированных картинках?

Отсутствует

 

№304-04-2015 03:08:24

Coroner
Участник
 
Группа: Members
Зарегистрирован: 29-10-2012
Сообщений: 4002
UA: Palemoon 24.0

Re: Ахтунг!!! Утечка приватности в почтовом клиенте SM!!!

Kaban пишет

Везде стоит подозрительное "3D", раньше я такого не видел.
По-моему это очень очень огромная дыра в почтовом клиенте!

А можно поподробнее ? В чём по Вашему дыра и что подозрительного в "3D" ?

Kaban пишет

Если "отключить" интернет с помощью иконки штепселя справа снизу в окне почтовика, то картинки не показываются.

Логично. Интернета нет и скачать он их не может.

Kaban пишет

Так что будьте на чеку! И впредь ВСЕГДА отключайте штепсель на подозрительных письмах., а лучше на всех письмах.

Читать новые будет весьма затруднительно. И отправлять тоже.

Похоже что эта Ваша "дыра" описана вот здесь : http://en.wikipedia.org/wiki/Quoted-printable и используется при

Заголовки сообщения могут содержать только 7-битные символы. При необходимости использовать национальные символы в каких-то полях, требуется использование кодировок. Как правило, это Base64 или Quoted-Printable.
https://ru.wikipedia.org/wiki/Электронная_почта
Специалист наверное скажет лучше.

Так и возникают слухи. А ведь стоило лишь гугль открыть...

Отсутствует

 

Тема закрыта

Страницы: 1

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]