On 2019-01-25, Robert Tomasik <r...@g...pl> wrote:

[...]

>> Tylko jeśli weryfikujesz podpis i nadawcę podpisu (czyli praktycznie nigdy).
>> Można wysłać maila podpisanego przez kogoś innego, podając we "from" cokolwiek
>> się chce i nikt nie zwróci na to uwagi.
>
> Jak masz nowego kontrahenta i zweryfikujesz jego e-maila, to sobie
> dodajesz do grupy, od której program zmienia maile na jaki Twój ulubiony
> kolor.

Ależ to jest do obejścia w 5 minut. Można wysłać maila z dowolnym adresem
e-mail, tak jak można wysłać SMSa z różnymi nadawcami.

> Jak nie zmieni, to się zastanawiasz czemu. Ja akurat przerzucam
> te emaile do lokalnego katalogu, ale rozwiązań pewnie z tuzin można
> wymyślić.

I tylko o ile jest rozpowszechnione sprawdzanie "kłódki" w przeglądarce,
to nie jest rozpowszechniona tego typu higiena w klientach poczty.
Co więcej, klient poczty nie gwarantuje w jaki sposób Twój email
zostanie odebrany, czy wygląd będzie zgodny z intencją nadawcy,
a podmienić treść tuż przed wyświetleniem (a więc już po kontroli
podpisem) może dowolne rozszerzenie w kliencie poczty (tak jak ma
to miejsce w rozszerzeniach przeglądarek).

> Po za tym wiele tego typu ataków, to było robionych przez urządzenia /
> programy do seryjnego wysyłania dokumentów i one w ogóle nie obsługują
> podpisywania / szyfrowania. Ale oczywiście faktem jest, ze jak ludzie by
> zaczęli to częściej używać, to pewnie i sprawcy by zmienili sposoby.

Zmierzam raczej do tego, że literalnie nie ma żadnej techniczej wyższości
"podpisanego maila" nad "podpisanym PDFem", a ten drugi przynajmniej
gwarantuje że odbiorca zobaczy to co chce nadawca, w formie takiej jak
chce, nawet jak to wydrukuje.

>> Na zdalnym serwerze, z dostępem po łączu szyfrowanym?
>> To już musi być bardzo smart wirus, targetujący na konkretne rozwiązanie.
>
> Nie. Ale do pdf-a może być dołączony złośliwy kod.

Który w nowoczesnych przeglądarkach nic nie zrobi.

> Do czystek e-maila już trudniej coś takiego wymyślić.

Kiedyś się dało, tak jak kiedyś się dało zrobić PDFa, który przy
otwarciu zarażał. Zarówno współczesne mailery jak i PDF readery
blokują tego typu akcje.

--
Wojciech Bańcer
w...@g...com