W dniu 26-01-19 o 14:38, Wojciech Bancer pisze:

>>> Tylko jeśli weryfikujesz podpis i nadawcę podpisu (czyli praktycznie nigdy).
>>> Można wysłać maila podpisanego przez kogoś innego, podając we "from" cokolwiek
>>> się chce i nikt nie zwróci na to uwagi.
>> Jak masz nowego kontrahenta i zweryfikujesz jego e-maila, to sobie
>> dodajesz do grupy, od której program zmienia maile na jaki Twój ulubiony
>> kolor.
> Ależ to jest do obejścia w 5 minut. Można wysłać maila z dowolnym adresem
> e-mail, tak jak można wysłać SMSa z różnymi nadawcami.

Ale na Twoim komputerze będzie klucz publiczny właściwego kontrahenta,
więc podpis się nie będzie zgadzał. No chyba, że masz pomysł na
podpisanie e-maila bez klucza prywatnego.
>
>> Jak nie zmieni, to się zastanawiasz czemu. Ja akurat przerzucam
>> te emaile do lokalnego katalogu, ale rozwiązań pewnie z tuzin można
>> wymyślić.
> I tylko o ile jest rozpowszechnione sprawdzanie "kłódki" w przeglądarce,

Przeglądarki żadko wspierają podpisywanie / szyfrowanie.

> to nie jest rozpowszechniona tego typu higiena w klientach poczty.

No właśnie o to mi chodzi.

> Co więcej, klient poczty nie gwarantuje w jaki sposób Twój email
> zostanie odebrany, czy wygląd będzie zgodny z intencją nadawcy,
> a podmienić treść tuż przed wyświetleniem (a więc już po kontroli
> podpisem) może dowolne rozszerzenie w kliencie poczty (tak jak ma
> to miejsce w rozszerzeniach przeglądarek).

No to już musiał byś mieć bardzo zaawansowanego wirusa. Podpis jest
sprawdzany przed prezentacją. Wydaje mi się to niemożlwe, ale być może
nie wiem o czymś. Tak, czy siak wytniesz pewnie z 99,99% zagrożenia.
>
>> Po za tym wiele tego typu ataków, to było robionych przez urządzenia /
>> programy do seryjnego wysyłania dokumentów i one w ogóle nie obsługują
>> podpisywania / szyfrowania. Ale oczywiście faktem jest, ze jak ludzie by
>> zaczęli to częściej używać, to pewnie i sprawcy by zmienili sposoby.
>
> Zmierzam raczej do tego, że literalnie nie ma żadnej techniczej wyższości
> "podpisanego maila" nad "podpisanym PDFem", a ten drugi przynajmniej
> gwarantuje że odbiorca zobaczy to co chce nadawca, w formie takiej jak
> chce, nawet jak to wydrukuje.

No właśnie do pdf możesz dołączyć jakiegoś syfa.
>
>>> Na zdalnym serwerze, z dostępem po łączu szyfrowanym?
>>> To już musi być bardzo smart wirus, targetujący na konkretne rozwiązanie.
>> Nie. Ale do pdf-a może być dołączony złośliwy kod.
> Który w nowoczesnych przeglądarkach nic nie zrobi.

Nie czytam zasadniczo poczty z przeglądarki, tylko z klienta.
>
>> Do czystek e-maila już trudniej coś takiego wymyślić.
> Kiedyś się dało, tak jak kiedyś się dało zrobić PDFa, który przy
> otwarciu zarażał. Zarówno współczesne mailery jak i PDF readery
> blokują tego typu akcje.
>