Ah. Unter dem Hashtag #efail lernen Leute auch 2018 noch das html-Mails unsicher sind weil sie ausführbaren Code zulassen. 
-
-
Replying to @martindelius
Wäre ohne veraltete Crypto aber nicht passiert.
2 replies 0 retweets 0 likes -
Replying to @andreasdotorg @martindelius
Jein. Als PGP eingeführt wurde, kannte man noch kein AEAD. Wenn du also ne alte Mail in die Finger kriegst, kannst du die immer noch per efail angreifen/entschlüsseln lassen, selbst wenn alle neuen Mails mit AEAD geschützt sind.
1 reply 0 retweets 0 likes -
Replying to @srslypascal @martindelius
MDC wurde so 2003 rum in GnuPG eingeführt. Lang genug Zeit, das zum Standard zu machen und den alten Mist zu deprecaten. Mit einer warning ist halt niemandem geholfen.
2 replies 0 retweets 0 likes -
Replying to @andreasdotorg @martindelius
Und "Warning statt Error" ist okay, solange keine externen Ressourcen nachgeladen und keine JS-Scripte ausgeführt werden. Der Fehler liegt bei Enigmail, nicht bei GPG an sich. (Und natürlich bei HTML-Mails, aber das ist eh klar)
1 reply 0 retweets 0 likes -
Replying to @srslypascal
Seh ich anders. Defense in depth fängt dabei an, schlechte Crypto irgendwann auch mal loszuwerden.
1 reply 0 retweets 0 likes -
Replying to @andreasdotorg
Hmm, für mich fängt "defense in depth" schon an bei "Nehmt doch gleich S/MIME, wenn ihr X.509 eh schon für TLS implementieren müsst, und diese Implementierung um Größenordnungen besser getestet/reviewed ist/wird". Aber das ist ein anderes Thema.
2 replies 0 retweets 0 likes -
Replying to @srslypascal
Die Algorithmen, die S/MIME so verwendet, sind aber ähnlich angestaubt...
1 reply 0 retweets 0 likes -
Replying to @andreasdotorg
Siehe meinen vorherigen Tweet. Es gibt nen RFC für CMS mit AES-GCM seit November 2007. Und es gibt nen RFC, der ein passendes ASN.1-Modul für S/MIME spezifiziert, seit Juni 2010.
1 reply 0 retweets 0 likes
Das ist zugegebenermassen 8 Jahre weiter als PGP. Ob das jetzt von Outlook unterstützt wird, hab ich spontan nicht herausfinden können.
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.