#efail: PGP in HTML Mails angreifbar
Mit PGP verschlüsselte eMails im HTML Format sind angreifbar. Dies haben Forscher heute nachgewiesen. Leider sind HTML kodierte Mails sehr verbreitet, obwohl dieses Format ursprünglich eigentlich für das Web und nicht für Mails vorgesehen war. Aber so kann man doch so schön formatierte Mails und anklickbare Links versenden... Eben drum.
Die als #eFail kursierende Sicherheitslücke bezieht sich jedoch wohl nur auf dieses Mailformat und ist vor allem in der Kombination unsichere Mailserver / uralte Mails praktisch gefährlich. Daher lautet die Devise nicht: "PGP ist schlecht also deaktivieren und niemals verschlüsselte Mails versenden" sondern HTML in Mails deaktivieren, und für Admins: Ungesicherte Mailserver absichern. Letzteres gibt es offensichtlich immer noch...
Siehe dazu: spiegel.de, netzpolitik.org, heise.de
Nachrichtenansicht HTML deaktivieren in
• Thunderbird
• Outlook