image

EFF: open geen links in e-mails tenzij strikt noodzakelijk

donderdag 10 januari 2019, 12:34 door Redactie, 15 reacties

Internetgebruikers moeten geen links in e-mailberichten openen tenzij dit strikt noodzakelijk is, zo stelt de Amerikaanse burgerrechtenbeweging EFF. het vermijden van e-maillinks moet tegen tracking en phishing beschermen. Volgens de EFF vind tracking overal op internet plaats.

Ook in e-mails, en dan met name marketingmails, mailinglists en andere commerciële uitingen, vindt tracking plaats. Links in de berichten zijn bijvoorbeeld voorzien van unieke trackingcodes waarmee kan worden gezien wie welke link heeft geopend en op welk moment. Ook het gebruik van trackingpixels waarmee gebruikers worden gevolgd komt voor. Uit onderzoek blijkt dat 70 procent van de mailinglists gebruik van tracking maakt (pdf).

Voor het op grote schaal versturen van e-mails maken organisaties vaak gebruik van derde partijen. Het onderzoek liet verder zien dat 30 procent van de onderzochte mailinglists het e-mailadres van de ontvanger lekt wanneer die de e-mail opent. Verschillende van deze trackers proberen daarnaast verbanden te leggen tussen het e-mailadres van de ontvanger en verschillende e-mails die hij opent, en zelfs via websites die worden bezocht. Op deze manier wordt het "onzichtbare online profiel" van de gebruiker verder uitgebouwd, zo waarschuwt de EFF.

Gebruikers kunnen echter verschillende maatregelen nemen om zichzelf te beschermen. Zo wordt aangeraden om het laden van "third-party resources" te blokkeren. Het gaat dan bijvoorbeeld om afbeeldingen of trackingpixels die vanaf een bepaalde domein worden geladen. Verschillende e-mailclients doen dit standaard al. Voor extra veiligheid kunnen gebruikers ook de html-weergave uitschakelen. Dit voorkomt elke vorm van "remote content tracking", aldus de EFF.

De burgerrechtenbeweging raadt verder aan om geen links in e-mailberichten te openen, tenzij het niet anders kan. Gebruikers moeten daarbij van tevoren controleren waar de link naar wijst. Afsluitend vraagt de EFF aan de ontwikkelaars van e-mailprogramma's om het laden van remote content standaard uit te schakelen en gebruikers de optie te geven om html niet in e-mailberichten te tonen.

Reacties (15)
10-01-2019, 13:15 door Anoniem
Je moet helemaal geen HTML willen in email, ja noem mij maar ouderwets maar HTML is de belangrijkste reden waarom we nu met spam, malware en virussen opgezaldeld zitten.
10-01-2019, 13:54 door Anoniem
Door Anoniem: Je moet helemaal geen HTML willen in email, ja noem mij maar ouderwets maar HTML is de belangrijkste reden waarom we nu met spam, malware en virussen opgezaldeld zitten.
Mwah, dat weet ik niet. Denk zelf dat het open karakter van SMTP een belangrijkere bijdrage heeft geleverd. Mail van unauthenticated sources, i.e. zonder SPF, DKIM, DMARC, is vaak rotzooi.
10-01-2019, 14:03 door Anoniem
Door Anoniem: Je moet helemaal geen HTML willen in email, ja noem mij maar ouderwets maar HTML is de belangrijkste reden waarom we nu met spam, malware en virussen opgezaldeld zitten.

Mwah vergeet de nieuwsgierigheid van mensen niet, gebrek aan lezen. Een bijlage is zo geopend.
Als je een paar karakteristieken weet, haal je zo 99% van dit soort mailtjes er uit (nog wel).
10-01-2019, 14:06 door karma4
Door Anoniem: Je moet helemaal geen HTML willen in email, ja noem mij maar ouderwets maar HTML is de belangrijkste reden waarom we nu met spam, malware en virussen opgezaldeld zitten.
Html is open source. De links zijn et in gekomen omdat je dan zo makkelijk naar de inhoud kan komen. Komt van cern af met Tim Berners Lee. Gebruiksgemak voor de wetenschappers voorop.
10-01-2019, 14:23 door Anoniem
Elke goede e-mailclient kan links openen in plain text berichten. Alleen sukkels dwingen HTML-gebruik in mail af.
10-01-2019, 14:44 door Anoniem
Door karma4:
Door Anoniem: Je moet helemaal geen HTML willen in email, ja noem mij maar ouderwets maar HTML is de belangrijkste reden waarom we nu met spam, malware en virussen opgezaldeld zitten.
Html is open source. De links zijn et in gekomen omdat je dan zo makkelijk naar de inhoud kan komen. Komt van cern af met Tim Berners Lee. Gebruiksgemak voor de wetenschappers voorop.

Zucht, ja dat weet ik ook wel mr Google, het had alleen nooit in een email client moeten zitten.
10-01-2019, 14:55 door Anoniem
Door karma4: Html is open source.
open standaard ? open source

HTML is geen software maar een specificatie, geen open source maar een open standaard die zowel in open source-software als propriëtaire software geïmplementeerd is.
10-01-2019, 15:11 door Anoniem
Je kunt er zo veel bijhalen als je wilt betreffende de veroorzakende factoren van deze voortdurende ellende. Wat te denken van ongepatchte javascript ellende? Wat denk je van voor de functionaliteit onnodige 3rd party scripts blokkeren? Wat denk je van niet toegepaste best policies? Wat denk je van niet doorgezette verificatie? Waarom draait er nog zoveel PHISH, spam en scam? SU, tk en andere malware domeinen?
Ik noem letsencrypt cybercriminele netwerken, Russian Business Network ellende, scammers die zich verschuilen achter Panamese Privacy Schild constructies en profiteren van versluierde whois info. DNS problemen, certificering zwakte. Gedoogde rotzooi.

Heb wel eens het idee, dat het technologiewereldje of de Big Tech aansturenden die rotzooi liever in stand houden. Het zijn troebel water vissers voor het gewin. En we pikken het weer met z'n allen, net als alle overheersingen in de historie gepikt werden. Straks hebben we maar 1 platform - Google f*cksia.

Ik kan alleen maar spreken over mijn ervaringen met website security en krijg verontwaardige reacties bij verbeteringsvoorstellen voor security problemen. "Ik wordt toch nog niet ergens geflagged, waarom jank je dan over MiM aanvalsmogelijkheden, hosting problemen (excessieve info proliferatie)?" is de reactie vaak.

De baas zal zijn incompetentie eens een keer echt ontdekken, moet er niet aan denken. Doe eens een upguard of webhint scannetje en zie waar mail gespoofed kan worden. Ik ervaar dweilen met de kraan open en het aan de orde stellen van problemen bij voortzetting is kennelijk niet genoeg. Het net zou eens even helemaal down moeten om alles eens te kunnen overdenken of we zo wel verder willen. Schrikt men tenminste even. 31 December jongstleden had ik geen internetverbinding via de provider en kon ik eens even rustig recupereren.

Geen of weinig interesse bij de (technische) IT die het moet doen, vaak geen onderbouwing bij de deveolper ploeg en al helemaal niet bij de digibetische massa, die aan de gevaren worden blootgesteld.

Grote vraag: "Hoe moet dit verder?". Vernieuwers als xs4all verdwijnen als merk, terwijl die gassies van KPN er heus niet allemaal meer op een kissie bijzitten. De ivoren toren weet het inmiddels beter en het gaat hen ook steeds meer voor de wind. Wij met z'n allen aan de kortlevende wegwerp mail in een wegwerp zandbak, is dat misschien een uitweg?

luntrus
10-01-2019, 15:14 door Anoniem
Door Anoniem: open standaard ? open source
Dat vraagteken was een ongelijk-teken

@redactie: Het werd in de preview goed weergegeven. Het zou prettig zijn als de preview representatief is en geen filters overslaat die later op de tekst worden losgelaten.
10-01-2019, 16:09 door karma4 - Bijgewerkt: 10-01-2019, 16:11
Door Anoniem:
Door karma4: Html is open source.
open standaard ? open source

HTML is geen software maar een specificatie, geen open source maar een open standaard die zowel in open source-software als propriëtaire software geïmplementeerd is.
Het is een taal hyper text markup language. Deze wordt runtime geïnterpreteerd
Deze code is open en bloot in te zien na de file transfer download. Een ieder kan voordat hij het programma de Browser zijn gang laat gaan zelf beoordelen of die html code functioneel correct is. Niemand die het doet.....

Het verhaal van luntrus is duidelijk in de problemen die volgen.
10-01-2019, 17:08 door Anoniem
Door karma4: Het is een taal hyper text markup language. Deze wordt runtime geïnterpreteerd
Deze code is open en bloot in te zien na de file transfer download. Een ieder kan voordat hij het programma de Browser zijn gang laat gaan zelf beoordelen of die html code functioneel correct is. Niemand die het doet.....
Klopt allemaal. Ik dacht dat je de term "open source" gebruikte volgens de gangbare betekenis, waarvan zeker IT'ers op de hoogte zouden moeten zijn, namelijk dat je niet alleen de broncode naar mag kijken maar kopieën ervan in je eigen produkten mag gebruiken, al dan niet aangepast, en die weer verder mag verspreiden. Dat geldt beslist niet voor alle HTML die je tegenkomt.
10-01-2019, 19:54 door [Account Verwijderd]
Door Anoniem: Elke goede e-mailclient kan links openen in plain text berichten. Alleen sukkels dwingen HTML-gebruik in mail af.

I love mutt.
10-01-2019, 20:05 door karma4
Door Anoniem:
Klopt allemaal. Ik dacht dat je de term "open source" gebruikte volgens de gangbare betekenis, waarvan zeker IT'ers op de hoogte zouden moeten zijn, namelijk dat je niet alleen de broncode naar mag kijken maar kopieën ervan in je eigen produkten mag gebruiken, al dan niet aangepast, en die weer verder mag verspreiden. Dat geldt beslist niet voor alle HTML die je tegenkomt.
Ook met de eigen producten gebouwd op open source en met behulp van open source tools en gebruiken open data kun je gewoon een auteursrechtelijk beschermd product krijgen. Ik heb de exacte betekenis enkel op een niet gebruikelijke wijze ingevuld in een niet gebruikelijke context.
10-01-2019, 21:13 door Krakatau - Bijgewerkt: 10-01-2019, 21:42
Afsluitend vraagt de EFF aan de ontwikkelaars van e-mailprogramma's om het laden van remote content standaard uit te schakelen en gebruikers de optie te geven om html niet in e-mailberichten te tonen.

Maak even een scriptje dat een waarschuwing laat zien en stel dat in bij Default Applications -> Web Browser. (Debian KDE).

#!/bin/sh
xmessage -center -buttons yes,no Clicking links is at your own risk. Links are logged. Continue?
if [ $? -eq 101 ]
then
echo "$*" >> ~/clicked-links.log;
google-chrome-stable "$*"
fi

Je kan ook iets maken dat een wachtwoord vraagt.

@Redactie: de bbcode voor code werkt niet meer? (indentering, regeloverloop)
11-01-2019, 11:04 door -karma4
Door Krakatau: @Redactie: de bbcode voor code werkt niet meer? (indentering, regeloverloop)

Hint: https://websemantics.uk/articles/displaying-code-in-web-pages/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.