Hallo, On Fri, 22 Mar 2002 at 15:29 (+0100), Christoph Maurer wrote:
Am Fre, 22 Mär 2002 schrieb Michael Lootz:
From: "Bernhard Walle"
Ganz zu schweigen von haufenweisen Sicherheitslücken, da HTML-Mails mit dem Internet Explorer angezeigt werden,
ja, aber das ist Einstellungssache.
AFAIK kannst Du aber nicht verhindern, daß eine an Dich gesandte HTML-Mail auch als solche interpretiert und mit der Rendering Engine des IE dargestellt wird. Damit hast Du aber eine Sicherheitslücke, weil mittlerweile Sicherheitslöcher gefunden worden sind, die mit reinem HTML-Code funktionieren, ohne Attachments etc.)
Eben. Beispiel gefällig? Zitat vom Heise-Newsticker URL: http://www.heise.de/newsticker/data/pab-04.03.02-001/default.shtml ====================================================================== Internet Explorer führt lokale Dateien aus ====================================================================== Ein Sicherheitsloch im Internet Explorer ermöglicht das Ausführen beliebiger, auf dem Rechner installierter Programme -- und das ohne eingeschaltetes Active Scripting oder ActiveX. Auch Outlook und Outlook Express sind anfällig für die Sicherheitslücke. [...] [...] Weil die Sicherheitslücke unabhängig von den Einstellungen die Interpretation von HTML-Seiten betrifft, sind auch Outlook und Outlook Express mit hohen Sicherheitseinstellungen von dem Problem betroffen. Eine einfache HTML-Mail kann somit beim Öffnen oder in der Vorschau ein Programm starten. [...] ======================================================================== Es ist _noch_ nicht bekannt, wie einem Programm Parameter mitgegeben werden können, um wirklichen Schaden anzurichten (z. B. dem Programm "del"), dennoch möchte _ich_ nicht, dass jemand mit einer einfachen Mail auf meinem Rechner irgendwelche Programme ohne mein Zutun ausführen kann. Zumindest sehr viele Programme können damit gestartet werden, wordurch der Rechner faktisch für eine bestimmte Zeit lahmgelegt werden kann. Sicherlich gibt es noch weitere, ähnliche Sicherheitslücken, die sich nicht durch einfache Einstellungen abstellen lassen. Zudem muss man immer von den *Standard*einstellungen ausgehen, und hier dürften wir uns wohl alle einig sein, dass Outlook und Outlook Express sehr unsicher konfiguriert sind. Die meisten Leute, die Outlook (Express) verwenden, ändern die Standardeinstellungen nicht, da sie z. B. gar nicht über das Wissen verfügen, zu entscheiden, welche Einstellungen sinnvoll und welche das nicht sind. Dass diese Benutzergruppe nicht unbedingt von Mutt begeistert sein wird, ist auch klar. Es gibt aber auch sichere GUI-Programme; (fast) alle sind sicherer als Microsoft Outlook und Microsoft Oulook Express. Nicht nur wegen der großen Verbreitung sind im Prinzip alle Mail"viren" (i. d. R. waren es Würmer) über diese beiden Programme verbreitet worden. Für mich ist diese Disussion jetzt beendet, Antworten auf diese Mail bitte nicht mehr an die Liste sondern nur an mich per PM oder evtl. an andere Listenteilnehmer. Mit Etikette hat das aber _absolut_ gar nichts zu tun. Gruß, Bernhard -- "If you put your mind to it...you can do anything." -- Jono Bacon