TB 2.0.0.0 RC1, JavaScript, Junkfilter, Grafiken laden

  • Hallo und einen schönen Ostersonntag!


    Ich habe TB 2.0.0.0 RC1 installiert und vermisse folgende Einstellungen aus 1.5.0.x:

    1. Beim Anzeigen von HTML-Nachrichten, die als Junk eingestuft sind, den HTML-Code ignorieren (bei 1.5 unter Extras -> Junk-Filter Einstellungen)
    2. JavaScript in Nachrichten blockieren (bei 1.5 unter Extras -> Einstellungen -> Datenschutz -> Allgemein)
    3. Das Laden von externen Grafiken in Nachrichten blockieren (bei 1.5 unter Extras -> Einstellungen -> Datenschutz -> Allgemein)


    Wo sind diese Optionen in der neuen Version? Nur noch in about:config? Welche ist die Default Einstellung bei 2.0?
    Würde mich über eine Antwort sehr freuen, vielleicht weiß ja jemand Bescheid!


    Viele Grüße,


    wurstsemmel


    edit: zu c. habe ich eine Antwort im englischen Forum gefunden: TB blockiert by default das Laden von externen Bildern, man kann im Adressbuch das Laden von Bildern für einzelne Adressen erlauben.


  • In TB 2 ist JavaScript standardmäßig aktiviert, die Einstellungsmöglichkeit ist aus der GUI herausgenommen und nur noch in about:config umschaltbar:


    Extra>Einstellungen>Erweitert>Konfiguration bearbeiten:
    "javascript.enabled" auf "false" setzen.


    deine Frage zu a. kann ich z.zt auch noch nicht beantworten....

  • Die standardmäßige Aktivierung von JavaScript wäre aber ein echtes Sicherheitsproblem.
    Wenn ich mir den Schlüssel javascript.allow.mailnews = false ansehe, scheint mir JavaScript per default in Mail und News ausgeschaltet zu sein. Eine Testmail von heise zeigt auch, dass JavaScript aus ist.


    Ich habe noch eine Anregung:
    Durch ein Entfernen von "img(alt,title,longdesc,src)" aus dem Wert für den Schlüssel "mailnews.display.html_sanitizer.allowed_tags" könnte ein Anzeigen von eingebetteten Grafiken in Junk Nachrichten verhindert werden. Dies wäre ein zusätzlicher Sicherheitsgewinn.
    Bin am Überlegen, ob ich dies im engl. Theadback Thread zum RC1 posten soll?


    Zu a: Habe einfach ein bisschen rumprobiert: TB benutzt für Junkmails "Vereinfachtes HTML", dies entspricht der Option Ansicht -> Nachrichtentext -> vereinfachtes HTML. Die Einstellungen für "vereinfachtes HTML" werden in dem oben genannten Schlüssel festgelegt!


    MFG,


    wurstsemmel

  • ^
    keine ahnung, aber an TB 2.0.0.0 codes wird nichts mehr geändert (außer last minute crash und major bugs), ist vielleicht etwas für security updates ab 2.0.0.1 ;)

  • Vielleicht haben wir ja Glück und es fließt in das erste Update mit ein, werd mal die Reaktionen abwarten und vielleicht einen Bugreport schreiben, damit auch was passiert!

  • Also, in Bug 108153 ist erklärt, warum "img(alt,title,longdesc,src)" auch in Junkmail bzw. vereinfachtes HTML erlaubt ist.


    Abschließend können meine Fragen so beantwortet werden (natürlich ohne Gewähr!):


    zu a. Junkmail wird als vereinfachtes HTML dargestellt (sanitized)
    zu b. JavaScript scheint deaktiviert zu sein
    zu c. Das Laden von externen Grafiken wird für jede email Adresse getrennt eingestellt.


    Schönen Feiertag,


    wurstsemmel