Uhm, hoe werkt dat? Remote content in een PGP encrypted mail? Waarmee is die remote content dan encrypted? Staat die encrypted op een server ergens?

Ik kan mij er niets bij voorstellen.

Nagenoeg alle e-mails zijn tegenwoordig in HTML gecodeerd, en HTML zit zo in elkaar dat het verwijzingen kan bevatten naar allerlei onderdelen die als de HTML zelf al geladen is nog van servers worden afgehaald om de zaak compleet te maken.

Een met PGP of S/MIME versleutelde e-mail wordt eerst ontsleuteld naar HTML, samen met de in de e-mail meegestuurde onderdelen. Daarna start het opmaakproces dat van de HTML iets voor mensen toonbaars maakt. Dat kan die meegestuurde onderdelen gebruiken, maar als de HTML een verwijzing bevat naar CSS die op een server staat dan is het probleem kennelijk dat Thunderbird het ophalen daarvan niet blokkeerde, of het uitvoeren van JavaScript daarin niet. De pagina wordt dan opgemaakt met behulp van die externe CSS, die daartoe van de server geladen wordt via HTTPS of misschien ouderwets via HTTP, en eventuele JavaScript daarin wordt uitgevoerd.

Dat CSS JavaScript kan bevatten was in het begin niet zo, dat is op een gegeven moment toegevoegd. Dat biedt een opening aan aanvallers om via CSS JavaScript te injecteren in een e-mail, en ook in een versleutelde e-mail omdat het opmaken en extra componenten ophalen gebeurt als het ontsleutelen al achter de rug is. De aanvaller moet dan op de een of andere manier controle hebben over de inhoud van die CSS, wat zou kunnen via een supply chain-aanval of een MITM-aanval bijvoorbeeld. Als dat eenmaal gelukt is heeft de JavaScript in de CSS uitgebreid toegang tot de HTML van de e-mail, en daarmee heeft de aanvaller die toegang.

Dat CSS wordt gebruikt doet me vermoeden dat het laden van externe JavaScript in gewone JavaScript-bestanden wel geblokkeerd werd (en maar goed ook), maar dat de makers van Thunderbird een steek hebben laten vallen bij JavaScript in CSS.

Ik ken de details die ze niet vrijgeven voor de duidelijkheid niet, dit is het beeld dat ik krijg op basis van de summiere informatie. Maar software is zo ingewikkeld dat het beeld dat je dan krijgt vaker niet dan wel blijkt te kloppen als je later meer details verneemt, dus ik kan de plank makkelijk geheel of gedeeltelijk misslaan. Slik mijn uitleg dus niet voor zoete koek. Maar hopelijk geeft dit je wel een voorstelling van hoe zoiets zou kunnen misgaan; als je je dat kan voorstellen dan wordt het hopelijk makkelijker om je voor te stellen dat er ook andere manieren kunnen zijn.

@15:47

Het was even zoeken in mijn geheugen, maar OAuth2 heeft JavaScript nodig. Zie https://support.mozilla.org/en-US/kb/automatic-conversion-google-mail-accounts-oauth20.

POP3 is ook in JavaScript geschreven in Thunderbird. Zie https://www.thunderbird.net/en-US/thunderbird/102.0/releasenotes/.

Ik mag hopen dat dat niet een uitwerking heeft op het tonen van inkomende e-mails.

Anoniem 12:25