Bugzilla-Status-Info: Ungewollter Klartextversand von PGP-Mails

  • Da der Bug noch nicht confirmed ist, ist der betreffende Thread auch noch nicht für alle lesbar.


    If ]....]encryption enabled by default, then I agree it's a security issue.

    [....]


    Nun ist die Frage im Gespräch: wie handlet man das Problem?

    Ein Userdialog für jede Mail wäre sinnfrei - da können ja schnell

    mal 100 Meldungen lokal aufgehen.


    Meine Idee wäre: dann nur eine Notice verschicken - oder besser

    die gesamte Mail (encrypted ist sie ja schon) 1:1 als Attach zu versenden.

    Letzteres hab ich dann mal so vorgeschlagen.

    Das reisst aber vermutlich den programmtechnischen Ablauf total durcheinander.


    Oder hat jemand einen besseren Vorschlag?


    Wenn es eine weitere Rückmeldung gibt, dann poste ich das hier.

  • Ein Userdialog für jede Mail wäre sinnfrei - da können ja schnell mal 100 Meldungen lokal aufgehen.

    Dann wäre zu überlegen, dem Absender die Weiterleitungsadresse mitzuteilen.

    Meine Idee wäre: dann nur eine Notice verschicken - oder besser

    die gesamte Mail (encrypted ist sie ja schon) 1:1 als Attach zu versenden.

    Das macht nur Sinn, wenn der Empfänger der weitergeleiteten Mail auch den privaten Schlüssel besitzt – ansonsten s. o.

  • Da der Bug noch nicht confirmed ist, ist der betreffende Thread auch noch nicht für alle lesbar.

    Das hat nichts mit confirmed zu tun, sondern damit, dass der Bug als sicherheitsrelevant eingestuft ist.

    oder besser

    die gesamte Mail (encrypted ist sie ja schon) 1:1 als Attach zu versenden.

    Letzteres hab ich dann mal so vorgeschlagen.

    Soviel zum Verständnis des ganzen Themas. Siehe #2. Dann müsstest du den Empfängern deinen geheimen Schlüssel zur Verfügung stellen.

    Oder hat jemand einen besseren Vorschlag?

    Ja, einen ganz einfachen: Die automatische Weiterleitung von verschlüsselten E-Mails komplett unterbinden.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)