[Linuxtrent] Re: [Linuxtrent] Re: Vulnerabilità nello scambio di messaggi PGP via email
- From: Daniele Nicolodi <daniele@xxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 15 May 2018 19:20:15 -0600
On 5/15/18 12:48 AM, Roberto Resoli wrote:
Il 15/05/2018 08:42, Roberto Resoli ha scritto:
https://www.schneier.com/blog/archives/2018/05/details_on_a_ne.html
La vulnerabilità non sta in PGP o S/MIME in sè, ma sfrutta
l'elaborazione dell'HTML fatta dal client di posta.
Molto ingegnoso.
La spiegazione del gruppo che ha esposto la vulnerabilità, lo IT
security lab presso l'Università di Scienze applicate a Münster, diretto
da Sebastian Schinzel:
https://efail.de/
Il post aggiornato di EFF:
https://www.eff.org/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0
Bha, il trucco è semplice ed ingegnoso, ma credo che si sia dato
estremamente eccessivo risalto al problema. Mi stupisco di come EFF
abbia affrontato la cosa, inizialmente persino consigliando di
disinstallare i plugin per l'integrazione di PGP nei vari email client,
senza nemmeno consultare gli sviluppatori di GnuPG.
I messaggi di posta elettronica in formato HTML sono una bestialità,
pensare che abbinarli a PGP sia una buona idea è una fesseria di suo, un
client di posta che in automatico segue i link contenuti in un messaggio
di posta, a maggior ragione se cifrato, è andare a cercarsele.
Questi poveri ricercatori devono pur sopravvivere nel mondo accademico e
creare un sacco di hipe attorno ai propri risultati sta diventando
indispensabile, ma forse sarebbe il caso di cominciare a ridimensionare
il fenomeno. Mi aspetterei che gli addetti ai lavori riconoscano il trucco.
Ciao,
Daniele
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
- » [Linuxtrent] Re: [Linuxtrent] Re: Vulnerabilità nello scambio di messaggi PGP via email - Daniele Nicolodi
