アカウント名:
パスワード:
EFAILだってさ。https://efail.de/ [efail.de]
In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.
gpgの実装上の問題であり、暗号そのものが破られたわけではない。
ZDNet Japanの記事 [zdnet.com]を見ただけなのでまだはっきりとしないですが、PGP・S/MIMEの問題というよりは、メールクライアント側のmultipartの扱いに起因する問題のような印象が。
あぁ、指摘されてる脆弱性は2つあって、(Direct Exfiltration・The CBC/CFB Gadget Attack)multipartの扱いに起因する問題っぽいのは前者だけですね。
後者は暗号化されたデータの先頭部分が殆どの場合決まった内容("Content-type: multipart/signed"とか)なのを利用して、先頭部分を改竄できるということらしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
バグに面白い名前つけるのはもう飽きたね (スコア:1)
EFAILだってさ。
https://efail.de/ [efail.de]
Re: (スコア:1)
In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.
gpgの実装上の問題であり、暗号そのものが破られたわけではない。
Re: (スコア:1)
ZDNet Japanの記事 [zdnet.com]を見ただけなのでまだはっきりとしないですが、
PGP・S/MIMEの問題というよりは、メールクライアント側のmultipartの
扱いに起因する問題のような印象が。
Re:バグに面白い名前つけるのはもう飽きたね (スコア:1)
あぁ、指摘されてる脆弱性は2つあって、
(Direct Exfiltration・The CBC/CFB Gadget Attack)
multipartの扱いに起因する問題っぽいのは前者だけですね。
後者は暗号化されたデータの先頭部分が殆どの場合決まった
内容("Content-type: multipart/signed"とか)なのを利用して、
先頭部分を改竄できるということらしい。