nicht angemeldet
Sicherheitslücke in Web.de-Freemail?
Anscheinend habe ich gestern selber eine Sicherheitslücke in Freemail gefunden. Das ganze hat eigentlich ganz harmlos angefangen: ich wollte ein PHP-Script testen, das HTML-Mails verschicken kann:
<?php
$message = "<h1>Hello world!<h1>";
$to = $_GET["to"];
$subject = "HTML-Test";
$xtra = "From: test@test.test ";
$xtra .= "Content-Type: text/html Content-Transfer-Encoding: 8bit ";
$xtra .= "X-Mailer: PHP ". phpversion();
mail($to,
$subject,
$message,
$xtra);
?>
Also schick ich die Mail an meine Web.de-Adresse und siehe da: Freemail erkennt die HTML-Email nicht als HTML-Email! Habs dann noch mit Arcor und GMX getestet, die merken es sofort und bringen den entsprechenden Sicherheitshinweis. Was sagt ihr dazu?
-
Hallo thomas,
$xtra .= "Content-Type: text/html Content-Transfer-Encoding: 8bit ";
Was soll denn das sein?
Bitte mit Zeilenumbrüchen! (\n)
Also schick ich die Mail an meine Web.de-Adresse und siehe da: Freemail erkennt die HTML-Email nicht als HTML-Email!
Was heißt das _genau_? Wird das HTML in Reinform an den Browser geschickt, so dass dieser es interpretiert? Dann wäre es wirklich eine Sicherheitslücke, sofern web.de überhaupt in dieser Hinsicht warnt. (weiß ich ja nicht) Oder bekommt der Browser nur den HTML-Code maskiert zu gesicht, dass der Leser den Quellcode sieht? Dann wäre das keine Sicherheitslücke, schließlich wird in diesem Fall ja kein HTML vom Browser interpretiert.
Was sagt ihr dazu?
Cool bleiben. Schau erst, welcher der beiden oberen Fälle zutrifft; wenn letzteres der Fall ist, dann kannst Du beruhigt schlafen gehen, wenn ersteres der Fall ist, dann wende Dich vertrauensvoll an die Administration von web.de. (wird da ja irgendwo angegeben sein, wie man sie erreichen kann)
Viele Grüße,
Christian-
Was heißt das _genau_? Wird das HTML in Reinform an den Browser geschickt, so dass dieser es interpretiert? Dann wäre es wirklich eine Sicherheitslücke, sofern web.de überhaupt in dieser Hinsicht warnt. (weiß ich ja nicht) Oder bekommt der Browser nur den HTML-Code maskiert zu gesicht, dass der Leser den Quellcode sieht? Dann wäre das keine Sicherheitslücke, schließlich wird in diesem Fall ja kein HTML vom Browser interpretiert.
Jepp, der Browser interpretiert das HTML und stellt es in der Email dar, aber ohne Hinweis, dass es sich um eine HTML-Email (mit damit verbundenen Sicherheitsrisiken) handelt. Ich habe auch schon an Web.de geschrieben deswegen.
thomas.
-
Hoi,
Jepp, der Browser interpretiert das HTML und stellt es in der Email dar, aber ohne Hinweis, dass es sich um eine HTML-Email (mit damit verbundenen Sicherheitsrisiken) handelt. Ich habe auch schon an Web.de geschrieben deswegen.
Hm das ist wirklich schlecht.
Würd mir aber wünschen dass du uns hier dann sagst was web.de geantwortet hat.mfg
Julius-
Hm das ist wirklich schlecht.
Würd mir aber wünschen dass du uns hier dann sagst was web.de geantwortet hat.Werd ich machen, wenn ich eine Antwort erhalte...
thomas.
-
-
-
-
Hi,
Anscheinend habe ich gestern selber eine Sicherheitslücke in Freemail gefunden. Das ganze hat eigentlich ganz harmlos angefangen: ich wollte ein PHP-Script testen, das HTML-Mails verschicken kann:
Nein, hast Du nicht, denn Dein Script verschickt keine HTML-Mails.
$message = "<h1>Hello world!<h1>";
Für eine HTML-Mail ist ein HTML-Dokument erforderlich, nicht ein Ausschnitt aus selbigem.
$xtra .= "Content-Type: text/html Content-Transfer-Encoding: 8bit ";
Dieser Header ist falsch.
Es fehlt der Strichpunkt.Für eine HTML-Mail ist der content-type
text/htmlDeine Mail hat aber den Content-type
text/html Content-Transfer-Encoding: 8bitDaß der Zeilenumbruch auch noch fehlt, kommt erschwerend dazu. Dieser wäre per \r\n anzugeben (nicht nur \n)
Also schick ich die Mail an meine Web.de-Adresse und siehe da: Freemail erkennt die HTML-Email nicht als HTML-Email!
Was sagt ihr dazu?
SISO: Shit in - Shit out.
Deine Eingabe ins Mail-System ist fehlerhaft.
Wenn das System daraufhin anders als von Dir erwartet reagiert, ist das nicht notwendigerweise ein Fehler des Systems...cu,
Andreas--
Der Optimist: Das Glas ist halbvoll. - Der Pessimist: Das Glas ist halbleer. - Der Ingenieur: Das Glas ist doppelt so groß wie nötig.
http://mud-guard.de/? http://www.andreas-waechter.de/ http://www.helpers.de/-
Hi!
SISO: Shit in - Shit out.
Deine Eingabe ins Mail-System ist fehlerhaft.
Wenn das System daraufhin anders als von Dir erwartet reagiert, ist das nicht notwendigerweise ein Fehler des Systems...Wenn der web.de Server aber den Inhalt ungeprüft und unverändert ausgibt, ist das sehr wohl eine erhebliche Sicherheislücke!
Nur habe ich das Interessehalber gerade mal geprüft, da ist doch alles in Ordnung. Es wird eben nichts interpretiert. Selbiges bei GMX, da wird auch kein HTML angezeigt. Also IMHO ist das alles in Ordnung. War das exakt der Quellcode den Du verwendet hast? Die Server reagieren IMHO absolut korrekt, und auch identisch.
Grüße
Andreas-
Hallo,
Nur habe ich das Interessehalber gerade mal geprüft, da ist doch alles in Ordnung. Es wird eben nichts interpretiert.
Tja, und selbst wenn. Wer lässt es schon zu, dass sein Browser alle möglichen fremden Programme ausführt? Egal ob als Plugin oder JavaScript...
IMO ist dafür jeder selbst verantwortlich und nicht der Mail-Service.
Gruß,
Christian-
Hi!
Tja, und selbst wenn. Wer lässt es schon zu, dass sein Browser alle möglichen fremden Programme ausführt? Egal ob als Plugin oder JavaScript...
Ich! Mozilla darf gerne alle Plugins auführen die ich installiert habe, und gerne auch Java und Javascript. Und ja, ich akzeptiere sogar cookies, ich will sie nichtmal bestätigen müssen! Also kann ich alle Seiten wunderbar benutzen und hatte trotzdem bisher keine Probleme.
IMO ist dafür jeder selbst verantwortlich und nicht der Mail-Service.
Nein. Wenn ich mich selbst im Internet bewege kann ich mir aussuchen auf was für Seiten ich gehe. Wenn mir aber entsprechende Mails geschickt werden und ich die ganz unbedarft mal öffne, habe ich die bösen Seiten auf einmal auf meiner Webmail-Seite, ohne was dazu zu können. Klar, unser eins erkennt solche mails, und öffnet die erst gar nicht, aber anscheinend öffnen genügend Leute diese mails und antworten sogar drauf, sonst gäb es nicht so viel Spam.
Grüße
Andreas
-
-
-
hi,
SISO: Shit in - Shit out.
Deine Eingabe ins Mail-System ist fehlerhaft.
Wenn das System daraufhin anders als von Dir erwartet reagiert, ist das nicht notwendigerweise ein Fehler des Systems...ein system, dass immer davon ausgeht, vom user auschliesslich "korrekte" eingaben (wo auch immer das definiert sein mag) zu erhalten, und andernfalls undefiniert reagiert, würde ich per se als fehlerhaft bezeichnen.
gruss,
wahsaga-
Hi,
ein system, dass immer davon ausgeht, vom user auschliesslich "korrekte" eingaben (wo auch immer das definiert sein mag) zu erhalten, und andernfalls undefiniert reagiert, würde ich per se als fehlerhaft bezeichnen.
Wie soll es denn in diesem Fall reagieren?
Das System kennt den ersten Teil des content-type, nämlich Text.
Soll es - obwohl es weiß, daß der Inhalt der Mail Text (in irgendeiner Form) ist - den Text nicht darstellen?Der Fehler liegt meines Erachtens wenn überhaupt darin, daß scheinbar beliebiger Text ohne die notwendigen Zeichenumwandlungen (& ==> & und < ==> <) in ein Webinterface ausgibt...
Aber keinesfalls darin, daß es nicht vor einer HTML-Mail warnt - es ist ja keine angekommen.cu,
Andreas--
Der Optimist: Das Glas ist halbvoll. - Der Pessimist: Das Glas ist halbleer. - Der Ingenieur: Das Glas ist doppelt so groß wie nötig.
http://mud-guard.de/? http://www.andreas-waechter.de/ http://www.helpers.de/
-
-