H
HAL
...schon mal etwas von apfel und + gehört wenn dir die schrift zu klein ist?
Folgen Sie dem Video unten, um zu sehen, wie Sie unsere Website als Icon auf Ihrem Homescreen erstellen.
Anmerkung: This feature may not be available in some browsers.
Das Thema hatten wir schon mal.BEASTIEPENDENT schrieb:naja, bedingt tut er das schon, wie carsten ja bzgl. der spammer geschrieben hat.
Wenn Du Dir so sicher bist, warum nennst Du dann kein Beispiel.BEASTIEPENDENT schrieb:und es gibt etlichen schadcode, der unter windoof durchaus zu schaden führt nur durch öffnen/anschauen einer mail, wenn das mail-prog wie outlook oder outlook express nicht ordentlich gepatched UND eingestellt ist. wenn ihr es nicht glauben wollt, lasst es halt.
Die Zuordnung zwischen Empfängeradresse und IP Adresse beim Abruf der Bilder ist nicht möglich.
Du kennst mich doch inziwschen. Ich bin mir sicher.HAL9500 schrieb:Sicher ?!
maceis schrieb:...
Ich kann es aber gerne noch einmal erläutern.
Der entsprechende html-Tag heisst <img src=http://server/pfad/dateiname.jpg>
Was macht der Client, wenn er das liest?
Trivial gesagt, baut er ein Verbindung zum genannten Server auf den Zielport 80 auf und sagt ihm: "Sende mir das Bild "dateiname.jpg", das bei dir unterhalb der Documentroot deines Webservers mit dem relativen Pfad "pfad" abgelegt ist an meine IP-Adresse a.b.c.d an meinen Quellport sowieso"
...
Mit diesen Daten ist aber keine Zuordnung möglich.
Wer das nicht glaubt, dem empfehle ich, mal beim Abrufen von html-Mails mit Bildern den ethereal mitlaufen zu lassen.
Das schafft dann unwiderlegbare Klarheit.
Kannst oder willst du es nicht verstehen?!?!BEASTIEPENDENT schrieb:html-mails sind generell potentiell gefährlich
xlqr schrieb:yo rupp
wenn du mir jetzt noch erklärst, wie du einen emailclient dazu bekommst so ein javascript zu parsen, sind wir im geschäft !
weil es mir zu mühsam war, das rauszusuchen, da ich mich mit dem thema seit zwei jahren kaum noch beschäftige. aber bitte...maceis schrieb:Wenn Du Dir so sicher bist, warum nennst Du dann kein Beispiel.
www.viruslist.com/en/viruses/encyclopedia?chapter=153316852 schrieb:JS.Fortnight
JS.Fortnight is an Internet worm that uses infected emails with hidden links to an Internet Web page from which it downloads its infected code. Infected messages contain a hidden link to a Web page containing the worm. When a user opens an infected email message the link opens and downloads the...
www.bsi-fuer-buerger.de/abzocker/05_07.htm schrieb:Stellen Sie Ihr E-Mail-Programm so ein, dass sich Nachrichten beim Eingehen nicht automatisch öffnen (keine Autovorschau). So werden Viren oder Würmer nicht sofort aktiv, wenn bei E-Mails im HTML-Format „schädlicher Code“ enthalten ist.
www.stichpunkt.de/beitrag/oe.html schrieb:E-Mail-Viren können nur als Mail-Anhang oder als Bestandteil von HTML-Mails übertragen werden, in reinen Text-Mails kommen sie nicht vor. Während HTML im Internet Explorer inzwischen weitgehend sicher vor bösartigen Scripts ist, ist es das im Mailer leider noch nicht. ...Alleine durch das Öffnen oder Ansehen einer HTML-Mail kann man sich einen Schädling auf dem Computer holen ohne das man etwas davon merkt. Das ist jetzt nicht allein die Schuld von Microsoft, sondern liegt an den unterschiedlichen Internet-Protokollen die dabei verwendet werden.
www.userchannel.de/cms2/artikel/63.html schrieb:Der Angriff kann über eine Webseite oder über eine HTML Mail, die zu einem präparierten Gopher Server führt, erfolgen.
womit dir hoffentlich auch endlich klar wird, dass das abrufen der bilder in einer spam sehr wohl (!) dem absender bestätigt, dass du sie gelesen hast. wie du das mitsenden einer einzelnen zahl mitloggen möchtest bzw. an der größe des datenverkehrs siehst, weiß ich dabei nicht.www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/mail/ schrieb:Die Verarbeitung dieser Daten bedeutet ein Sicherheitsrisiko: Inzwischen gelangen die meisten schädlichen Programme per Mail auf den eigenen Rechner - als Attachment oder eingebettet in einer HTML-Mail.
...
Der Nachteil dieser Form von E-Mails ist die Tatsache, dass nicht nur hübsche Grafiken, sondern grundsätzlich alles, was in einer Webseite enthalten sein kann, auch in HTML-Mails verwendet werden darf. So können HTML-Mails aktive Inhalte wie JavaScript enthalten. Da viele Mailprogramme zur Darstellung der HTML-Mails auf die Rendering-Engine des Internet Explorers zurückgreifen, erbt das Mailprogramm hiermit automatisch die Sicherheitslücken dieses Browsers. So reicht es bereits, in Outlook eine Mail anzuklicken, um darin enthaltenen aktiven Code auszuführen: Da Outlook sofort eine Vorschau der Mail anzeigt, wird auch der HTML-Code umgehend ausgewertet, eventuell vorhandene Scripte ausgeführt.
Eine weiteres Risiko besteht im Nachladen von eingebetteten Grafiken. Wie eben erwähnt können HTML-Mails neben reinem Text auch Grafiken enthalten. Diese müssen jedoch nicht unbedingt mit der Mail mitgeschickt werden. Anstelle der Grafik selbst kann eine Referenz auf einen Webserver im HTML-Code stehen. Das Mailprogramm lädt die Grafik von diesem Server erst bei Bedarf nach. Bis hierhin ist das ganze harmlos. Findige Werbefirmen betten jedoch in die Mail nicht nur den Link auf die Online-Version der Grafik ein, sondern auch eine ID-Nummer. Der Link in der Mail lautet so beispielsweise http://www.adserver.com/img/image01.jpg?012345
Das Mailprogramm versucht nun, die Grafik "image01.jpg?012345" abzurufen. Die Zahlenfolge nach dem Fragezeichen stellt dabei eine eindeutige ID-Nummer dar, die der Absender zuvor mit der Mailadresse des Empfängers verknüpft hat. Der Webserver empfängt diesen Link, registriert die ID-Nummer und schickt die Grafik "image01.jpg" zurück. Zu diesem Zeitpunkt ist klar, dass die Mail gelesen wurde - eine unbemerkte Empfangsbestätigung wurde versandt.
www.aerasec.de/security/1199.html schrieb:Ein spezielles ActiveX Control kann Cabinet-Files (.cab) auf der lokalen Maschine laden und ausführen. Es besteht die Möglichkeit, daß über HTML-Mail ein "spezielles" cab-File unauffällig auf den PC gebracht und ausgeführt wird. Wenn der Benutzer diese Datei öffnen wollte, bekommt er eine Fehlermeldung - aber abhängig von der Mail-Installation kann u.U. eine Kopie angelegt werden. Das Control könnte über Script in der Mail angesprochen werden und dann den Code ausführen.
www1.microsoft.at/security/newsshowpage.asp?ItemId=6239 schrieb:Diese neue Schwachstelle betrifft die Microsoft VM-Komponente ByteCode Verifier. Sie resultiert daraus, dass der ByteCode Verifier beim Laden von Java-Applets nicht ordnungsgemäß prüft, ob ein bestimmter bösartiger Code vorhanden ist. Angreifer könnten ein bösartiges Java-Applet erstellen und auf einer Webseite einfügen. Beim Öffnen der Seite könnte die Sicherheitslücke dann ausgenutzt werden. Angreifer könnten diese bösartige Webseite auf einer Website einrichten oder per E-Mail an Benutzer schicken.
http://stop1984.org/index.php?lang=de&text=ratgeber.txt schrieb:Und wenn's geht Email am besten nur als reinen Text verschicken (und das auch den Freunden/Bekannten/Kollegen etc. empfehlen) statt als HTML-Mail, die ist nämlich besonders anfällig für Viren.
www.bsi-fuer-buerger.de/abzocker/05_08.htm schrieb:Diese E-Mails im HTML-Format zeigen dann einen „offiziellen“ Link an, hinter dem sich jedoch tatsächlich ein ganz anderer Link verbirgt. Um diesen Link zu entdecken, muss man den Quelltext der HTML-Mail lesen.
darüber könnte man streiten, ja. zum teil hast du recht, zum teil sind es lücken in anderen computer-komponenten oder sprachen...m. E. ist das keine Sicherheitslücke von html-Mails sondern wenn überhaupt, dann eine der von Dir genannten Clients.
das war einmal. durch zahlreiche "erweiterungen" wie javascript, active-x und andere "aktive inhalte" stimmt das so heute eben nicht mehr. reines html betreffend hast du recht, aber reines html ist relativ selten geworden IMHO.wie gesagt: html ist eine Seitenbeschreibungssprache, die keinen ausführbaren Code enthalten kann.
wer lesen kann... ich sprach nicht von "html", sondern von "html-mails". punkt 1. punkt 2 siehe zwei absätze hier drüber (stichwort "aktive inhalte")!KAMiKAZOW schrieb:Kannst oder willst du es nicht verstehen?!?!
Ich habe dir schon unter https://www.macuser.de/forum/showthread.php?t=55568&highlight=HTML+Mails erklärt, dass HTML selbst ungefährlich ist.
Ich kann lesen. Gut sogar. Und wenn ich dich mal aus dem anderen Thread zitieren darf:BEASTIEPENDENT schrieb:wer lesen kann... ich sprach nicht von "html", sondern von "html-mails". punkt 1.
Die "Aktiven Inhalte" sind in allen mir bekannten eMail-Programmen, die HTML-Mails anzeigen können, deaktiviert.BEASTIEPENDENT schrieb:punkt 2 siehe zwei absätze hier drüber (stichwort "aktive inhalte")!
Wie gesagt, liegt die Gefahr aber eher auf Seiten der Clients, die eben nicht nur den html-Teil interpretieren sondern andere Inhalte (Active-X, Java etc.).wegus schrieb:...
Sich aber blind darauf zu verlassen, daß HTML-mails harmlos seien ist meiner Ansicht nach zu kurz gesprungen!
HTML ist eine Seitenbeschreibungssprache und kann per se keinen Schaden anrichten!
HAL9500 schrieb:Aber auch von mir: HTML-Mails sind Unfug.
was sagst du zu nem kunden, der einen seriösen html-newsletter rauschicken möchte?
Nein, neinwegus schrieb:...
Nochmal, da zumindest maceis mich offenbar mißinterpretiert hat, HTML ist völlig harmlos.
...
sengaja schrieb:meine fresse lass dich einsalzen. oder sag lieber nix wenn du keine ahnung hast.
diese ignoranz hier teilweise ist echt zum reiern. was sagst du zu nem
kunden, der einen seriösen html-newsletter rauschicken möchte? "lassen sie mal, voll der unfug" oder was?
nein - aber ich gebe zu, dass es missverständlich ausgedrückt war. geschrieben habe ich, dass "böse apps" in CODE geschrieben sind.KAMiKAZOW schrieb:Ich kann lesen. Gut sogar. Und wenn ich dich mal aus dem anderen Thread zitieren darf:
"html-mails enthalten html-CODE?! code, richtig, das is der kram, in dem auch böse apps, viren, active-x und all sowas geschrieben sind."
Du behauptest da, Viren usw. wäre in HTML geschrieben und das ist Unfug.
dann würde mich interessieren, woher da andauernd doch wieder probleme und lücken sind. aber lassen wir das, führt ja offenbar zu nix.Die "Aktiven Inhalte" sind in allen mir bekannten eMail-Programmen, die HTML-Mails anzeigen können, deaktiviert.
da habe ich aber die freie entscheidung, ob ich mir die seite ansehen will. im mailer nicht (es sei denn, ich deaktiviere die vorschau, was für mich eindeutig zu unpraktisch wäre und das medium mail unbrauchbar).Unter den Gesichtspunkten ist dein Vorschlag "warum schickst du nicht einfach eine .html als anhang mit?" umso unverständlicher. Im Gegensatz zu Mail-Programmen sind Scripts und andere "Aktive Inhalte" idR im Browser aktiviert und Remote Images (zumindest von Thunderbird werden die geblockt) werden dann auch geladen. Somit sind all deine Vorsichtsmaßnahmen erst recht für die Katz.
was? hab ich jetzt einen denkfehler oder wie kommst du darauf? woher werden die bilder sonst geladen?Bilder von Web-Servern werden nicht geladen.
das machen professionelle programme, die in sekunden millionen von mails generieren. wieso sollte das also ein problem für den spammer sein?maceis schrieb:Mein Einwand ist einerseits, dass der Spammer hier einzelne Mails versenden muss, also nicht mit CC oder BCC arbeiten kann.
nein, genau so ist es. und das ginge bestenfalls bei deaktivierung der vorschau (s.o. für mich zu unpraktisch).Die Ausführung von Skripten etc. ist grundsätzlich ein anderes Problem.
Um dies zu umgehen (sofern der verwendete EmailClient das unterstützt), müsste man vermutlich eine html Mail als solche erkennen, bevor man Sie öffnet - oder seh ich das falsch.
indem es per regel geschieht und die mail daher gar nicht erst in die vorschau kommt.Insofern verstehe ich die Aussage "Ich schütze mich, indem ich html Mails in den Papierkorb werfe!" nicht ganz.
da es ein generelles risiko ist, sollte man IMHO generell keine html-mails verwenden. nur dann kann man diese unsitte (die es IMO unabhängig von einem sicherheitsproblem ist) ausrotten. dass man mit einem mac relativ (!) sicher ist, spielt hierbei für mich keine rolle.maceis schrieb:Außerdem verstehe ich den logischen Schluss nicht:
HTML-Mails, die andere versenden, können u. U. auf manchen Systemen Schaden anrichten, also versende ich auschließlich reine Text-Mails.
FULL ACK! wenn der kunde dann trotzdem will, okay.HAL9500 schrieb:Ja. Allerdings nicht so wortwörtlich. Und soll ich Dir was sagen?
Meine Kunden finden es gut offen und ehrlich beraten zu werden,
und ich finde es gut, wenn ich anschliessend auf mein Konto blicke.