Ah. Unter dem Hashtag #efail lernen Leute auch 2018 noch das html-Mails unsicher sind weil sie ausführbaren Code zulassen. 
-
-
Stimmt schon. Ich finde es nur auch nicht so passend jetzt generell vor E-Mail zu warnen wenn man doch vor dem Beukott noch Möglichkeiten hat.

-
"Nehmt halt Signal" zu sagen, nachdem da gerade die Vuln in der Desktop-App veröffentlicht wurde, ist in der Tat mutig.
-
"Nehmt halt De-Mail" *duck*
End of conversation
New conversation -
-
-
Jein. Als PGP eingeführt wurde, kannte man noch kein AEAD. Wenn du also ne alte Mail in die Finger kriegst, kannst du die immer noch per efail angreifen/entschlüsseln lassen, selbst wenn alle neuen Mails mit AEAD geschützt sind.
-
MDC wurde so 2003 rum in GnuPG eingeführt. Lang genug Zeit, das zum Standard zu machen und den alten Mist zu deprecaten. Mit einer warning ist halt niemandem geholfen.
-
Und "Warning statt Error" ist okay, solange keine externen Ressourcen nachgeladen und keine JS-Scripte ausgeführt werden. Der Fehler liegt bei Enigmail, nicht bei GPG an sich. (Und natürlich bei HTML-Mails, aber das ist eh klar)
-
Seh ich anders. Defense in depth fängt dabei an, schlechte Crypto irgendwann auch mal loszuwerden.
-
Hmm, für mich fängt "defense in depth" schon an bei "Nehmt doch gleich S/MIME, wenn ihr X.509 eh schon für TLS implementieren müsst, und diese Implementierung um Größenordnungen besser getestet/reviewed ist/wird". Aber das ist ein anderes Thema.
-
Die Algorithmen, die S/MIME so verwendet, sind aber ähnlich angestaubt...
-
Siehe meinen vorherigen Tweet. Es gibt nen RFC für CMS mit AES-GCM seit November 2007. Und es gibt nen RFC, der ein passendes ASN.1-Modul für S/MIME spezifiziert, seit Juni 2010.
-
Das ist zugegebenermassen 8 Jahre weiter als PGP. Ob das jetzt von Outlook unterstützt wird, hab ich spontan nicht herausfinden können.
End of conversation
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.