Sicherheit vs. HTML-Mails

  • Hallo,
    ich hätte gerne eine Einschätzung der bzgl. der Sicherheitsbedrohung durch HTML-Mails. Man hat das Problem des Datenschutzes, wenn inhalte von externen Servern nachgeladen werden, dazu alle Probleme, die Webseiten auch haben, wie XSS etc, oder?
    JavaScript in Mails ist möglich, nehme ich an? Wird das von Thunderbird ausgeführt (ist ja die selbe Engine wie beim Firefox) oder ist das abgeschaltet?
    Und inwiefern ist die "Externe Inhalte nicht anzeigen"-Funktion des Thunderbird hilfreich dagegen, bspw. bzgl. des Nachladens von Malware? Gegen in die Mail eigebautes JavaScript hilft das ja schonmal nicht.
    Schonmal vielen Dank für die Infos!

  • Hallo Shinzon,


    nun, prinzipiell kann html Code ausführen, der auch das System korrumpieren kann. Und klar: Du hast alle Probleme, die Du mit FF oder einem anderen Browser auch hättest. Java-Script kannst Du in den Einstellungen ausstellen (ich war da seit Jahren nicht mehr dran und habe das nur noch dunkel in Erinnerung).


    Die Funktion Externe Inhalte nicht anzeigen verhindert IMHO das Nachladen von Grafiken und anderen Daten aus dem Netz. So etwas kann zur Validierung der Mail-Adresse verwendet werden, aber auch ganz legitim sein. Ich verhindere das einfach, denn Mails, die Daten nachladen sind in meinem TB eher selten und noch seltener legitim.


    Gruß
    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Hallo,
    ich habe seit Jahren den Eintrag Javascript.enabled auf "false" stehen und nie Probleme bei HTML-Mails gehabt.
    Allerdings gibt es nur wenige Mails, bei denen ich HTML überhaupt zulasse.
    Allerdings weiß ich nicht genau, ob sich dieser Eintrag auf den eingebauten Browser bezieht oder auf die Mailfunktion.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Wie gut, dass ich gefragt habe. Hier steht nämlich, das JavaScript standardmäßig deaktiviert sei.
    Hab's bei mir jetzt ausgeknipst, auch wenn ich schon lange auf Reintextanzeige umgestellt habe. Sicher ist sicher.
    Wie sieht das mit den "Externen Inhalte nachladen" aus, bezieht sich das nur auf Grafiken etc. oder verhindert das auch das Laden von bspw. evtl. verlinkter Malware (oder wie man die auch immer noch ohne JavaScript im HTML-Quelltext zum Nachziehen unterbringen kann)?

  • Normalerweise ist Javascript nicht aktiviert.
    In Reintext spielt das sowieso keine Rolle.
    Und externe Inhalte sind nur in HTML herunterladbar.
    HTML bildet immer eine kleine aber latente Gefahr: Stichwort Webbugs.
    Natürlich kann dich ein Klick auf einen Link auf eine gefälschte Seite führen.
    Ist mir aber noch nie passiert, da ich grundsätzlich nur dann auf einen Link klicke, wenn ich den Absender kenne.
    Und ich kann aus Erfahrung ziemlich gut zwischen richtigem und gefälschtem Absender unterscheiden.
    TB hat zwar eine Phishing Warnung, aber ob diese immer funktioniert, weiß ich nicht.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • "mrb" schrieb:

    Normalerweise ist Javascript nicht aktiviert.


    Ich hatte in der about:config ein javascript.enablet == true (Standardwert, nicht vom Benutzer festgelegt). Bin ich die Ausnahmeerscheinung oder ist JavaScript trotz besagten booleans aus? Oder sollte ich mir Sorgen um die Integrität meines Systems machen...


    "mrb" schrieb:


    HTML bildet immer eine kleine aber latente Gefahr: Stichwort Webbugs.


    In der Tat. Würde sowas von der externeInhalteWegFunktion blockiert? Als Zählpixel könnte ich mir das schon vorstellen, weil der ja von einem Server gezogen wird, komplexere Webbugs dürften dann JavaScript-basiert sein, oder?

  • Webbugs sind ja in Grafiken eingebettet. Wenn du das Nachladen (externe Inhalte) zulässt, wirst du die Rückmeldung an den Versender nicht vermeiden können. Dasselbe gilt für IFrames.
    Ich bin aber kein Spezialist für Scripte und Webbugs.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw