Nachrichtenbereich (F8) immer aktiv?

  • Thunderbird-Version: V11.0.1
    Betriebssystem + Version: XP
    Kontenart (POP / IMAP): POP und IMAP
    Postfachanbieter (z.B. GMX): web.de gmx.de


    Hallo mal wieder :),


    aus Sicherheitsgründen habe ich vieles in meinem Thunderbird (aber auch Firefox)
    ausgeschaltet u. a. auch die sonst automatische Anzeige auf der gerade der Cursor steht.
    Ansicht->Fensterlayout->Nachrichtenbereich (F8)
    Dies soll verhindern, dass ich nicht Mailinhalte von Mails lade, die ich nicht kenne.


    Erschroken habe ich mich, als ich dann, als ich letztens einmal mit der Maus an den unteren Fensterrand nach unten kam, der Maus-Cursor zu Pfeilen wurde und ich durch hochziehen der _nur verdeckte_ Nachrichtenbereich erschien!


    Heißt das die Mail mit F8 wird der Nachrichtenbereich NUR verdeckt, die Email aber doch immer geöffnet? (ergo keine Sicherheitsfunktion!)


    Grüße


    gerade noch so FFfan (Firefox-Fan)

  • Hallo,

    Zitat

    aus Sicherheitsgründen habe ich vieles in meinem Thunderbird


    Das würde mich schon interessieren, was und warum du es ausgestellt hast.
    Bei HTML würde ich den Daumen hoch nehmen, aber bei sonstigen Maßnahmen?
    Verzichtest du etwa auf das Vorschaufenster, weil dort viele User durch uralte und nicht mehr gültige Internetmeldungen sehr verunsichert sind?

    Zitat

    Ansicht->Fensterlayout->Nachrichtenbereich (F8)
    Dies soll verhindern, dass ich nicht Mailinhalte von Mails lade, die ich nicht kenne.


    Wenn du nicht darauf klickst, was sollte dann passieren?
    Viel eher solltest du niemals auf Anhänge klicken.

    Zitat

    Heißt das die Mail mit F8 wird der Nachrichtenbereich NUR verdeckt, die Email aber doch immer geöffnet? (ergo keine Sicherheitsfunktion!)


    Ja, so würde ich das sehen. Was soll daran aber schädlich sein?
    Man kommt in vielen Fällen nicht darum herum, die Mail zu lesen, weil sich die Wahrheit nicht im Header erkennen lässt. Es wäre sogar schädlich, die Augen davor zu verschließen.
    Bedenke auch, dass TB keine Skripte ausführt.
    Und noch etwas: TB ist vollkommen sicher, wenn du die Mails nur als Reintextmails öffnen lässt.
    Auf unbekannt Links sollte man aber trotzdem nicht klicken.
    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Zitat


    Wenn du nicht darauf klickst, was sollte dann passieren?
    Viel eher solltest du niemals auf Anhänge klicken.


    Habe ich hier irgendetwas von Anhängen oder das ich darauf klicke geschrieben?
    Ich denke nicht!


    Also ich habe folgendes festgestellt:
    (vielleicht auch für die Allgemeinheit interessant)
    Wenn der Nachrichtenbereich deaktiviert ist und der Cursor auf einer ungelesen Mail steht (fett, grüner Punkt), dann hat TB die Mail wohl noch nicht geöffnet und kann so ungesehen gelöscht werden. Erst wenn man den Rand des Nachrichtenbereichs mit Maus per Drag and Drop hochzieht, scheint die Mail geladen zu werden.


    Im Übrigen bekam ich schon einmal ungewollte Mail mit ANGEZEIGTEM eingebundenem Anhang mittels CID, obwohl meine Konfiguration "sicher" mit:
    Ansicht-> Nachrichteninhalt->reiner Text
    Ansicht->"Anhänge eingebunden anzeigen" deaktiviert
    http://www.thunderbird-mail.de…iewtopic.php?f=31&t=53692


    Gruß
    FFFan

  • Zitat

    Habe ich hier irgendetwas von Anhängen oder das ich darauf klicke geschrieben?
    Ich denke nicht!


    Nein, ich aber in diesem Zusammenhang auch nicht.
    Ich meinte damit, dass man nicht auf (verlinkte) Grafiken und Links klicken sollte.

    Zitat

    Ansicht->"Anhänge eingebunden anzeigen" deaktiviert


    Das bringt nicht viel, da ja sowieso nur Text und Grafiken angezeigt werden, da wird nichts ausgeführt.
    Falls du dir mal den "Spiegel" als Newsletter bestellt hast: ohne diese Option ist dieser unbrauchbar.


    Dein Gesamtkonzept weicht stark von meinem ab, was die Sicherheit angeht.
    Bei mir darf keine Sicherheitssoftware Mails oder das TB-Profil abscannen.
    Unbekannte Absender werden von mir direkt in den Papierkorb verschoben und sonst erkenne ich mit 99% Sicherheit sofort, ob eine Nachricht Spam, Phishing oder noch was anderes ist.
    Das selbe passiert bei nicht angekündigten Anhängen.
    Man sollte einfach mehr den Kopf einsetzen, als durch bestimmte Einstellungen, die nichts bringen, sich selbst einschränken.
    Ist nur meine persönliche Meinung und ich empfehle sie nur Anwendern mit Tiefgang.
    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Es ist schon interessant, wie Du von den zwei Thunderbird-Einstellungen, die ich hier angegeben habe, auf mein gesamtes Sicherheitskonzept schliessen willst.


    Und ich bin überrascht, dass ich einem Computernutzer mit Tiefgang wie Dir, sagen muß, dass eine angezeigte Grafik (ob mit internem oder externem Viewer) durchaus ein Angriffsvektor darstellt. Mit "schlechten" Grafikdateien lassen z.B. Pufferüberläufe generieren, die die Kontrolle über die Anwendung, wenn nicht sogar über den gesamten Rechner ermöglichen. Falls Du das jetzt in Zweifel ziehen willst, nenne ich Dir als ein Beispiel mal das:
    http://technet.microsoft.com/de-de/security/advisory/2490606
    ...um die Sicherheitsanfälligkeit in Windows Shell bezüglich Überlaufs bei Grafikverarbeitung.
    Und das ist nur ein Patch von vielen in dieser Richtung.


    Ein Grund für mich Thunderbird zu benutzen war u.a. das Thunderbird NICHT einfach Grafiken nachlädt. Aber auch eine Email an sich stellt ebenfalls einen
    Angriffsvektor da, falls Thunderbird noch unbekannte Sicherheitslücken bei der Verarbeitung dieser Mails haben sollte. Also will ich die wenigen Emails, die für mich verdächtig erscheinen, möglichst nie geöffnet wissen.


    Gruß
    ffFan

  • Hallo FFfan,


    ich denke Deine ursprüngliche Frage

    "FFfan" schrieb:

    Heißt das die Mail mit F8 wird der Nachrichtenbereich NUR verdeckt, die Email aber doch immer geöffnet? (ergo keine Sicherheitsfunktion!)


    hat mrb oben beantwortet. Und er hat m.E. zurecht darauf hingewiesen, dass es im Zusammenhang mit E-Mails weitaus größere Risken gibt als die Vorschau.


    Wenn Dir die Vorschau als ein zu großes Sicherheitsrisko erscheint, hast Du weitere Möglichkeiten, die allerdings alle zulasten des Komforts gehen. So könntest Du für Deine POP-Konten einstellen, dass zunächst lediglich die Kopfzeilen heruntergeladen werden oder dass Nachrichten nur bis zu einer gewissen Größe heruntergeladen werden. Du könntest den Thunderbird auch in einer Sandbox betreiben (das mache ich z.B. mit dem Firefox, wenn ich Windows verwende).


    Wenn Du ein ordentliches Plus an Sicherheit möchtest (weil die Angriffsvektoren ja längst eine Matrix oder ein Tensor sind ;-)) habe ich noch einen Geheimtipp für Dich: Geh' auf Linux!


    Gruß


    Susanne

  • "SusiTux" schrieb:


    Wenn Du ein ordentliches Plus an Sicherheit möchtest (weil die Angriffsvektoren ja längst eine Matrix oder ein Tensor sind ;-)) habe ich noch einen Geheimtipp für Dich: Geh' auf Linux!
    Susanne


    Benutze doch auch Linux parallel. (Dualboot)
    Apropos Tensor: Danke für den - mechanisch gesehen - spannungsmindernden Beitrag. ;)


    Gruß


    ffFan

  • Hallo FFfan,


    "FFfan" schrieb:

    Benutze doch auch Linux parallel. (Dualboot)


    Und ich dachte, ich erzähle Dir was neues ;) Ich denke aber, dann kannst Du der Vorschau - nicht nur mechanisch - durchaus entspannt entgegensehen.


    Gruß


    Susanne

  • Hallo,


    hmm, ich konnte das

    "FFfan" schrieb:

    Erschroken habe ich mich, als ich dann, als ich letztens einmal mit der Maus an den unteren Fensterrand nach unten kam, der Maus-Cursor zu Pfeilen wurde und ich durch hochziehen der _nur verdeckte_ Nachrichtenbereich erschien!

    erst gar nicht nach vollziehen, weil ich da nichts hoch ziehen kann.
    Nachdem ich eben noch mal in den Thread sah und sich keiner darüber mokierte, habe ich es mal im Testprofil probiert und völlig überrascht verifiziert, denn dort geht es. :gruebel:
    Da es in meinem Arbeitsprofil nicht geht, nehme ich an, dass mein Theme Silvermel ursächlich ist und das habe ich gerade per Test ebenfalls verifiziert.

  • Zitat

    Und ich bin überrascht, dass ich einem Computernutzer mit Tiefgang wie Dir, sagen muß, dass eine angezeigte Grafik (ob mit internem oder externem Viewer) durchaus ein Angriffsvektor darstellt. Mit "schlechten" Grafikdateien lassen z.B. Pufferüberläufe generieren, die die Kontrolle über die Anwendung, wenn nicht sogar über den gesamten Rechner ermöglichen.


    Ja, ich hatte vor Jahren darüber gelesen, dass diese Möglichkeit besteht.
    Nur: ich lese in so vielen Foren auch amerikanischen - und niemals habe ich dort über Auswirkungen in Thunderbird oder anderen Programmen gelesen. Zum einen scheint die Durchführung nicht ganz einfach zu sein und zum anderen scheint es nicht zu klappen. Theorie und Praxis sind eben 2 verschiedene Dinge.
    Und außerdem wird durch Windows Updates dieses bestimmt gefixt sein.
    Denn dein Link stammt aus Jan. 2011 und


    Zitat

    Wir haben MS11-006 veröffentlicht, um dieses Problem zu beheben. Weitere Informationen zu diesem Problem, einschließlich Downloadlinks für ein verfügbares Sicherheitsupdate, finden Sie in MS11-006. Bei der behandelten Sicherheitsanfälligkeit handelt es sich um die Sicherheitsanfälligkeit in Windows Shell bezüglich Überlaufs bei Grafikverarbeitung - CVE-2010-3970.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Heute arbeiten wir bereits mit Thunderbird Release 16.0.2, das Problem mit dem ungewollt eingeblendeten Nachrichtenbereich scheint immer noch nicht behoben zu sein ( so es denn überhaupt bei den Entwicklern angekommen ist :confused: ).


    Wenn in einer Applikation eine Auswahl vorgesehen ist, sollte die gewünschte Einstellung auch respektiert werden.
    Sollte eine Selektion durch den Anwender nicht erwünscht sein, muß man die Auswahl "Nachrichtenbereich F8" in der Ansicht eben ganz entfernen.


    Das Verhalten von Thunderbird, wie es noch immer wieder auftaucht, ist so jedenfalls völlig inakzeptabel, Gefährlichkeit hin- oder her - Basta :!:



    Zitat von Aldous Huxley, engl. Schriftsteller: "Tatsachen schafft man nicht dadurch aus der Welt, daß man sie ignoriert.“

    Fritz Müglich
    Informatiker


    Salbeiweg 12
    71691 Freiberg am Neckar
    Mobil: +49 172 7164371

  • Danke für deinen "wertvollen" Hinweis - der aber hier völlig unangebracht ist.
    Wenn du dich über Mozilla beschweren willst, dann mach das bitte bei den Entwicklern und nicht hier in einem Forum, wo User anderen Usern helfen wollen.
    Deswegen ist das, was du hier geschrieben und wozu du dich extra angemeldet hast, nichts anderes als einen Hinweis.


    Im Stil von Catwiesl bewusst ohne Anrede und Gruß!
    Basta

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Sehr geehrte Herren Moderatoren,


    zuerst einmal meine Entschuldigung für meinen etwas ungemäßigten und "respektlosen Stil" und meine falsche Wahl des Forums;
    Ihre Bezeichnung "Beschwerde" zu meinem Beitrag scheint mir jedoch nicht ganz angemessen.


    Ich kam mir nach der Durchsicht der vielen fruchtlosen Beiträge zum Thema hier letzendlich Fehl am Platz vor, hatte ich hier in der Tat nützliche Hinweise und Hilfe zu einer Lösung meines Problems erwartet. Ich darf deshalb auf Ihr Verständnis hoffen.


    Wenn ich Ihrer Empfehlung folge, treffe ich auf folgende Hinweise auf Ihrem Link zu "Fehlerberichte und Wünsche":


    Zitat >>Wenn bei Ihnen Probleme auftauchen bzw. etwas nicht so funktioniert wie erwartet, dann versuchen Sie bitte zuerst durch die Lektüre unserer Dokumentation und Fragen & Antworten das Problem zu lösen. Wenn das nicht hilft, dann wenden Sie sich bitte noch an unser Forum. {gemeint ist dieses Forum} << Zitat Ende


    Die Lektüre der Dokumentation sowie Fagen & Antworten haben mich nicht weitergebracht, also nahm ich den zweiten Schritt wahr, mich an Ihr Forum zu wenden. Und damit scheint sich der Kreis endgültig zu schließen.


    Ich werde nichtsdestotrotz Ihrer Anregung folgen und mich in dieser Angelegenheit noch einmal hoffnungsvoll an die Entwickler wenden, nicht in Form einer Beschwerde, sondern mit konstruktiven Vorschlägen zur Umgehung - wenn nicht gar Behebung des Problems.


    Diesmal - zwar immer noch im falschen Forum - dennoch mit besten Grüßen,
    Catwiesl

    Fritz Müglich
    Informatiker


    Salbeiweg 12
    71691 Freiberg am Neckar
    Mobil: +49 172 7164371

  • Hallo,

    "Catwiesl" schrieb:


    Zitat >>Wenn bei Ihnen Probleme auftauchen bzw. etwas nicht so funktioniert wie erwartet, dann versuchen Sie bitte zuerst durch die Lektüre unserer Dokumentation und Fragen & Antworten das Problem zu lösen. Wenn das nicht hilft, dann wenden Sie sich bitte noch an unser Forum. {gemeint ist dieses Forum} << Zitat Ende


    Die Lektüre der Dokumentation sowie Fagen & Antworten haben mich nicht weitergebracht, also nahm ich den zweiten Schritt wahr, mich an Ihr Forum zu wenden. Und damit scheint sich der Kreis endgültig zu schließen.


    aber die folgenden Zeilen haben Sie sicherlich nicht ausgeblendet:

    Zitat

    Erst dann sollten Sie die Fehler-Datenbank BugZilla aufrufen...