URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 121626
[ Назад ]
Исходное сообщение
"Атака на пользователей почтовых клиентов при помощи ссылок 'mailto:'"
Отправлено opennews , 19-Авг-20 14:41 
Исследователи из Рурского университета в Бохуме (Германия) проанализировали (PDF) поведение почтовых клиентов при обработке ссылок "mailto:" с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра "attach". Ещё шесть почтовых клиентов были подвержены  атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53570

Содержание
Сообщения в этом обсуждении
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено jfdbngh , 19-Авг-20 14:41 
Если каждый китаец наберет случайную строку на клавиатуре, то с 99% вероятностью получится эксплоит.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено DeerFriend , 19-Авг-20 14:45 
Господин Трамп может подтвердить, что у них уже получилось.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 14:46 
>Пять из двадцати рассмотренных почтовых клиентов

Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 15:10 
mailx
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено жека воробьев , 19-Авг-20 15:16 
outlook
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним84701 , 19-Авг-20 15:25 
> outlook
> R4: Certificates are automatically imported, thereby replacing old ones
> что позволяет атакующему организовать подмену уже сохранённых у пользователя открытых ключей.

Так себе "альтернатива".

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Перастерос , 19-Авг-20 15:29 
аутглюк, аут!
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено rvs2016 , 23-Авг-20 22:13 
pine! Alpine!
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним84701 , 19-Авг-20 15:23 
>>Пять из двадцати рассмотренных почтовых клиентов
> Сестра! Список! Хочу НОРМАЛЬНУЮ альтернативу Thunderbird/Evolution/Claws.

Claws-то чем провинился?
> O2: Drafts are saved unencrypted even though encryption is enabled
> E1: The attach parameter of mailto URIs is not supported.
>

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 20:35 
> The attach parameter of mailto URIs is not supported.

Как это not supported? Только что проверил: приаттачивает, но выводит об этом сообщение, которое невозможно не заметить. Ключик ssh аттачить отказался, мол potential private data leak.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним84701 , 20-Авг-20 12:03 
>> The attach parameter of mailto URIs is not supported.
> Как это not supported? Только что проверил: приаттачивает, но выводит об этом
> сообщение, которое невозможно не заметить.

У меня только сообщение "File doesn't exist or permission denied!". Даже если прописать в ссылке "/home/anon/существующий_файл".

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Убить_Криса , 23-Авг-20 09:13 
Очень глючный
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 15:42 
aerc
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Siborgium , 19-Авг-20 17:18 
Тормозное и глючное Goвно. Зря Drew DeVault изменил сишке, авось лучше бы получилось. Пользовался примерно неделю, вообще не понравилось. (neo)mutt, и тот лучше.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено ss , 19-Авг-20 16:07 
Пишите!
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 16:16 
Gmail
/thread
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Алексей , 19-Авг-20 16:52 
KMail.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено ___ , 24-Авг-20 07:55 
Тащить себе половину KDE ради почтовика?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Ilya Indigo , 19-Авг-20 22:44 
Trojita к этому не уязвима, только что проверил!
А как на меня тут https://www.opennet.ru/openforum/vsluhforumID3/121309.html#17 косо смотрели...
Вход шли минусы и такие хипстерские выражения, как "минимальное чувство прекрасного" XD.
А оказалось это самый дырявый почтовый клиент. причём многие пользователи используют именно старую, однопотчную менее прожорливую версию. Вот так вот!
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено iPony129412 , 20-Авг-20 06:43 
Ну так уязвимости в Thunderbird нет.
Это в линуксах обделались
https://bugzilla.mozilla.org/show_bug.cgi?id=1613425
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Атон , 20-Авг-20 10:09 
Эк тебя задело..

Один только _одинаковый_ интерфейс пользователя на линуксе и виндовсе, примиряет с "прожорливостью".

Еще Thunderbird используют для совместимости.
Один профиль, простой и понятный, легко переносимый на флешке для линукса и виндовса.

В других почтовых клиентах дырявость еще не обнародовали а какая то там мнимая поточность вообще никого не волнует, кроме отмороженых хипстеров.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 14:51 
> путь_к_файлу

И какой путь?

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 14:53 
~/.bitcoin/wallet.dat
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 14:54 
А если нет такого?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Ag , 19-Авг-20 14:56 
На значит на этой машине не повезло, ждем-с другую. Интернет-с - он большой.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 14:59 
Так это глупо - отвечать на письма от незнакомых адресатов. Их в спам помещают или игнорируют.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено жека воробьев , 19-Авг-20 15:17 
тут не про отвечать, а про ссылки mailto
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 20:07 
Почему сразу "не знакомых"? А может знакомых. Может это какой-то магазин офигительных товаров и скидок куда пользователь пишет письмо т.к. на сайте написано "напишите нам и мы отправим вам товар". Пользователь пишет, ему в ответ приходит "ваш товар готов к отправке, вам удобно получить товар на этой или на следующей неделе" и вот в этом письме mailto.
Почему все думают что самые умные?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 15:01 
> Thunderbird позволяет прикреплять группы файлов

И глупо отправлять послание, не взглянув на окошко со списком вложений.

Так что проблема скорее не реализации и не протокола даже, а опять социальная.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Атон , 20-Авг-20 09:59 
Люди в это окошко не заглядывают даже когда сами добавили или должны были добавить аттач.

Конечно социальная инженерия. Бьет в цель наверняка.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 14:57 
И такого нет

~/.ssh/id_rsa

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Иваня , 19-Авг-20 15:01 
~$ cat ~/.ssh/id_rsa
cat: /home/Иваня/.ssh/id_rsa: No such file or directory

~$ cd ~/.ssh/id_rsa
bash: cd: /home/Иваня/.ssh/id_rsa: No such file or directory

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено ss , 19-Авг-20 16:11 
Вы просто не участвуете соревновании. Спокойно игнорируйте :)
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Ilya Indigo , 19-Авг-20 22:26 
У нормальных пользоватедей давно уже
~/.ssh/id_ed25519_key
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Атон , 20-Авг-20 10:14 
Поподробнее пожалуйста расскажите [a href=mailto:?to=fsb@nsa.gov&subject="Докладываю про нормальных пользователей подробнее"&body="Позвольте приложить список нормальных пользователей "&attach=~/.ssh/*]про нормальных пользователей[/a].  Очень интересно
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 15:13 
Страдание путь твой, человек.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено yet another anonymous , 19-Авг-20 15:01 
html в почте --- плохо. Нелокальное действие при обработке содержимого --- не плохо, а альтернативноодарённо.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 15:02 
По умолчанию отключено.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 15:10 
Вывод, как минимум, не хранить важных данных в стандартных каталогах
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Siborgium , 19-Авг-20 17:29 
OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Michael Shigorin , 19-Авг-20 18:31 
Вас никто не заставляет ключи openssh держать в файлах с предсказуемыми именами (да и путями тоже).  Это превратит почти неинтерактивную атаку с одним-единственным элементом социнжиниринга ("лишь бы не заметил список приложений") в как минимум двухстадийную целенаправленную при необходимости её успеха -- сперва надо выкрасть ~/.ssh/config и посмотреть IdentityFile.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено ALex_hha , 20-Авг-20 13:00 
а шифрование приватого ключа - вообще делает такие атаки бессмысленными, от слова совсем
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним84701 , 19-Авг-20 18:49 
> OpenSSH принципиально отказывается менять каталог. Что теперь делать, об стенку разбиться?

Классическое решение:
запускать браузер от другого пользователя (например, <name>surfer), у которого доступ в "основной" ~ есть только в ~/downloads

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 20-Авг-20 22:32 
ага. типичный линуксокостыль - на каждый пук заводить по пользователю. зачёт. ещё и группу можно.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Michael Shigorin , 20-Авг-20 22:39 
> ага. типичный линуксокостыль

Нет, типичный ламер, не слышавший про privsep.

http://altlinux.org/hasher для запуска всякой недоверенной жути тоже некоторые коллеги применяют.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Siborgium , 19-Авг-20 17:29 
Да и само ваше "решение" лечит в лучшем случае симптомы, а не проблему.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 19-Авг-20 15:14 
Создал файл со ссылкой
mailto:?to=user@example.com&subject=Title&body=Text&att...
Щелкнул. Открылся Thunderbird, подставил Title и Text... и не прикрепил никаких вложений, хотя такой файл есть.
Версия 68.10 - по информации в статье, "уязвимая".
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено ss , 19-Авг-20 15:54 
Может чтобы оно сработало надо плагин поставить?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 19-Авг-20 16:21 
> Может чтобы оно сработало надо плагин поставить?

Ага, предварительно скомпилировав.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено ss , 19-Авг-20 16:22 
Предварительно пропатчив авторскими фиксами после посылки багрепорта...
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 17:52 
Да ну нфиг слишком сложно пишите просто сразу куда слать этот ~/.ssh/id_rsa файл?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено rvs2016 , 23-Авг-20 22:17 
> Да ну нфиг слишком сложно пишите просто сразу
> куда слать этот ~/.ssh/id_rsa файл?

Это всё-равно сложно.
Пишите лусша сразу куда слать ДЕНЬГИ :-)))

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 16:52 
Мои эксперименты с kmail дали такой результат: оно действительно пытается приложить файл, но это всегда заканчивается ошибкой "файл не существует". Хотя я проверял на тех файлах, что 100% существуют и доступны.
При этом, в окне редактирования письма горит огромная красная надпись, что вложения были добавлены внешней программой, и нужно их проверить.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено sergey , 19-Авг-20 18:03 
Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 19-Авг-20 19:25 
> Нужно путь к файлу без тильды писать, тогда существует. Но большая красная надпись всё равно горит.

Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 19:37 
/root/.ssh/id_rsa
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 19-Авг-20 19:53 
> /root/.ssh/id_rsa

Во-первых, это не мой. Во-вторых,
$ cat /root/.ssh/id_rsa
cat: /root/.ssh/id_rsa: Permission denied

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 20:06 
>Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 19-Авг-20 20:18 
> Да, легко: .ssh/id_rsa будет обработано как ~/.ssh/id_rsa. Хотя возможно если для программы установлена какая-то другая рабочая директория, то тогда путь развернется в другой файл. Проверять это я, конечно же, не буду.

Ну, это же так несложно. Достаточно поправить данную мной выше ссылку прямо в браузере, щелкнуть... и убедиться, что оно таки по-прежнему не работает.
Хотя pwdx `pgrep thunderbird` таки показывает домашнюю папку текущего пользователя.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено OpenEcho , 21-Авг-20 02:07 
> Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

$HOME/.ssh/id_rsa

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 21-Авг-20 13:32 
> $HOME/.ssh/id_rsa

Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено OpenEcho , 21-Авг-20 16:37 
>> $HOME/.ssh/id_rsa
> Это с какого бы перепугу функции файловой системы стали раскрывать переменные окружения?

Приехали...

Тильда ~ это не есть функция файловой системы. Это алиас шела, который банально прется в среду и извлекает содержимое НОМЕ, которое в свое время заполняется функцией getpwent() вытаскивя из /etc/passwd домашнюю директорию.

Зайдите в шел, сделайте следующее: export HOME=/etc; cd ~; pwd
и пугайтесь сами :)

Know your tool: http://www.gnu.org/software/bash/manual/html_node/Tilde-Expa...

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 21-Авг-20 17:33 
> Тильда ~ это не есть функция файловой системы. Это алиас шела

Который раскрывает, например, glob.
А если внимательно прочитать новость,
> Thunderbird позволяет прикреплять группы файлов по маске при помощи конструкций вида "attach=/tmp/*.txt".

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено OpenEcho , 21-Авг-20 22:41 
Причем здесь новость? я отвечал на вопрос:

>Вы можете написать путь к моему ~/.ssh/id_rsa без тильды? Ну-ка, попробуйте.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено тоже Аноним , 21-Авг-20 23:17 
> Причем здесь новость? я отвечал на вопрос:

Это другое дело. Поздравляю, на этот вопрос вы ответили правильно. Вы молодец.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Bdfybec , 19-Авг-20 19:32 
> вложения были добавлены внешней программой

Что за внешняя программа?

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Sluggard , 19-Авг-20 20:08 
Видимо, подразумевается программа, в которой открывалась ссылка «mailto:»  — она ведь передала параметр «attach».
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 21:24 
Mailspring (snap):
?to=user@example.com&subject=Title&body=Text&attach=~/.ssh/id_rsa could not be found, or has invalid file permissions.

Файл есть, а доступа нет. Я ничего не менял специально. К любым другим тоже не доступа у него.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено анончик , 19-Авг-20 21:55 
ну так оно ж в песочнице, это ж snap
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено iPony129412 , 20-Авг-20 06:12 
SNAP не обязует песочницу.

Да и у этого приложения есть вполне доступ ко всему хомяку пользователя
https://github.com/Foundry376/Mailspring/blob/master/snap/sn...

Просто пути поехавшие.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено iPony129412 , 20-Авг-20 06:04 
https://snapcraft.io/docs/environment-variables

HOME
This environment variable is re-written by snapd so that each snap appears to have a dedicated home directory that is a subdirectory of the real home directory.

Typical value: /home/_user_name_/snap/_snap_name_/_snap_revision_

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 15:44 
Больше похоже на "браузеры не фильтруют параметры для почтовиков".
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 20:31 
С какой стати они должны что-то фильтровать в URL?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 20:45 
Чтобы их пользователю не насовали интересного?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 22:38 
И что, им теперь надо научиться разбирать URL для всех схем со всеми возможными параметрами и начать подменять их?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 22-Авг-20 10:56 
Зачем для всех, дорогой, речь про вполне определённый mailto.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Michael Shigorin , 19-Авг-20 18:32 
Ну вот, опять не вижу в списке mutt...
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено kusb , 19-Авг-20 19:51 
Консольные программы самые надёжные?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено PnD , 20-Авг-20 22:30 
А он есть©
Но лучше посмотреть на стр.5 PDF т.к. в новости легенду забыли.
"Нет, не был, не состоял".
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено user , 19-Авг-20 19:39 
Это дыра в стандарте mailto.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено kusb , 19-Авг-20 19:50 
Почему дыра? Это часть стандарта?
Получается, что это заявленная возможность, так?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 19:39 
>специально оформленные документы PDF - действие OpenAction в PDF позволяет автоматически запустить обработчик mailto при открытии документа:<

вот это неприятно

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено kusb , 19-Авг-20 19:47 
Для того, чтобы отправить файл на наш сервис переименуйте его в send.txt и расположите его в кoрнe диска "C:" согласившись при надобности с изменением расширения нажав кнопку "да" в диалоге (рис. 1).
В случае отсутствия диска C: на Windows системах необходимо первоначально создать его используя оснастку управления дисками или программу манипуляции разделами. Может потребоваться перезагрузка.
Если используется операционная система отличная от Windows, первоначально нужно создать католог аналогичный диску "C:" в корне системы, в случае unix-подобных систем вам, вероятно поможет следующая команда от суперпользователя (узнайте как запускать программы от суперпользователя в вашем случае):
mkdir /C:
В обычном случае достаточно ввести команду:
sudo mkdir /C: и ввести пароль (при вводе не отображается).
Используйте этот католог вместо диска "C:" поместив туда файл send.txt
После его использования католог "/С:" можно удалить так же, как и обычный католог, например введя команду rm C\:/, sudo rm C\:/ (В этом примере используется символ слеша для корректной работы.)

После расположения файла вам потребуется почтовый клиент поддерживающий нужную для данной задачи функциональность. Ознакомьтесь с нашим приложением 1 для проверки факта того, что клиент поддерживается.
Перейдите по ссылке: mailto:?to=send@enmlgateway.combody=Text&attach=C:/send... , после этого в окне почтового клиента в графе "заголовок" вы должны изменить заголовок на "Отправка файла, дата" где "дата" это сегодняшняя дата на момент отправки файла по Московскому времени (убедитесь, что текущая дата в вашем часовом поясе не отличается от московской, при необходимости скорректируйте).

Уведомление о принятии файла вы получите в течении трёх рабочих дней в виде ответного письма.

Известные проблемы:
Вложение не проходит - убедитесь, что ваш почтовый сервис пропускает вложения этого типа, убедитесь, что используется поддерживаемый почтовый клиент (см вложение 1), попробуйте изменить сервис и/или почтовый клиент.
Нет ответа о принятии файла или иные проблемы:
Воспрользуйтесь нашей технической поддержкой отправив письмо в офис.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 19:55 
Ыыыы... Какая прелесть!
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 19:59 
как неожиданно!
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено timur.davletshin , 19-Авг-20 20:08 
Стандартный Evolution из Debian stable прикрепляет и выводит в шапке письма предупреждение о том, что файл из скрытого каталога и может содержать приватную информацию. Т.е. сказать, что совсем об этом никто никогда не думал, нельзя.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 20:13 
а не из скрытого что?
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено timur.davletshin , 19-Авг-20 21:30 
А так и было задумано... Вообще, я не вижу ничего критичного в таком поведении. Кнопку "Send" за меня оно не нажимает и ладно. Если пользователь настолько олень, что не смотрит, что отправляет, то это его личные проблемы.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено kusb , 20-Авг-20 10:41 
Вот я не согласен, дело в том, что я не слишком ожидаю отправки файла почтовиком из моей файловой системы. Я скорее не хочу быть постоянно напряжённым работая с компьютером проверяя то, что предлагаемые функции не делают плохие вещи.
Так можно и в диалоге удаления файлов регулярку "*" по умолчанию подставлять, и запуск произвольной команды в стандарт mailto засунуть вместе с получением в аттаче файлов, которые вернёт эта команда и в веб-формы аналогичное поведение включить.
Это просто не слишком ожидается, как по мне. Я вероятно не слишком ожидаю, что плеер не будет трактовать открытие исполняемого файла как его запуск и не проверяю перед открытием видео или что программа выставит уже существующее имя файла в диалоге сохранения и молча перезапишет его, или при установке перезапишет биос на кривую версию, или Синаптик в диалоге установки программы реализует действие по умолчанию "установить Яндекс Бар".

Есть программа и то, что она делает. И есть то, над чем ты можешь не думать, потому что это не кажется её функциональностью. Если это почтовый клиент, то кому-то лучше думать о почте, или нет... а не о том, что она может отправить файл из файловой системы. Пусть даже она может, но ожидаемо ли это или нет?

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено kusb , 20-Авг-20 10:48 
Ну ладно, может иногда и проверяю и в этом есть часть вранья. Про имя файла по умолчанию так вообще не уверен даже.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено kusb , 20-Авг-20 10:50 
Ну ладно, Синаптиком я не пользуюсь.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено timur.davletshin , 20-Авг-20 11:20 
Берёшь apparmor профиль private-files-strict и запиливаешь его в качестве основы для своего любимого почтовика. Например, именно на его основе стоковый модуль для Evince режет доступ к каталогам gnupg, ssh, почты и чего-то, что я уже не помню.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Анонннннннннн , 19-Авг-20 20:39 
Почтовик в контейнер, виртуалку, или пароль за запуск.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 19-Авг-20 21:03 
Спалил контору =(((( ну по крайне мере последние лет 5 это стабильно работало. и да Хелло html2pdf, dompdf и рукожопы 97% ;)
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Нечего , 20-Авг-20 11:11 
Что если эволютион отправить в дев нуль что бы он не смог работать на мне , давно замечаю эту блоатварь которую не вызывал гуляющей по диспетчеру задач , ну ладно крон итд , а эта то гуляет зачем ? Я уж думаю линукс особенно убунточка исправится хотя бы на нашей территории если директором этого филиала буду я , а не яндекс который прибежал уже после.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Kuromi , 19-Авг-20 23:25 
*Facepalm*

А мне всегда казалочь что ну такие тривиальные дыры давно прикрыты. Наверное всем так казалось, поэтому никто их и не озаботился прикрыть.

С другой стороны, ссылок mailto вживую я лично не видел уже давно. Сейчас уже и почта-то - просто старомодной как-то.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 20-Авг-20 00:44 
Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые ящики? Просто интересно
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Kuromi , 20-Авг-20 21:41 
> Старомодно? А какие инструменты, на ваш взгляд актуальны, чем можно заменить почтовые
> ящики? Просто интересно

Смотря для чего - личное общение - разные IM, рабочее - Слаки и тому подобное. Пресловутые списки рассылки были вытеснены багзилламии гитхабами.

Впрочем, я не считаю что от емейла надо отказываться, но то что мир не стоит на месте - это точно.

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено iPony129412 , 20-Авг-20 10:44 
> уже и почта-то - просто старомодной как-то

Нет.
Другое дело, что есть куча почтовых технологий устаревших, которые надо выкидывать

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 20-Авг-20 03:33 
А поясните, пользователь сам потом отсылает письмо? Не автоматически же отсылается через mailto.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 20-Авг-20 05:44 
Да, поэтому там указано, что "пользователь может не заметить". То есть, может и заметить, а если бы уходило автоматически, то замечание не имело бы смысла.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено iPony129412 , 20-Авг-20 07:13 
https://twitter.com/tsdgeos/status/1295493399638941696

Бомбануло у КДЕшника

"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Аноним , 20-Авг-20 11:17 
firejail "Ваш любимый почтовый клиент"
Со списком для firejail куда клиенту можно ходить.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено ИмяХ , 20-Авг-20 11:57 
У кухоных ножей есть опасная уязвимость - если злоумышленник ударит им человека, то человек получит серьёзную травму и даже может умереть. Почему производители ножей не устраняют эту уязвимость? Существующие сейчас правила безопасности - это лишь набор костылей, которые не дают должной защиты. Ведь любой может идти по улице и не заметить подкравшегося сзади злоумышленника.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Firecat , 20-Авг-20 18:23 
Вообще-то кухонный нож плох для таких целей, у него очень слабая проникающая способность по сравнению с боевыми и охотничьими ножами... Короче, уязвимость устранена до максимума возможного.
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено microsoft , 20-Авг-20 13:04 
Ура mutt выстоял, жаль сцраные html письма не переваривает
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено Firecat , 20-Авг-20 18:13 
Короче, безопасные клиенты;
Windows: W10 Mail, The Bat!
Linux: Trojitá, Mutt
macOS: Airmail
iOS: Mail App
Android: K-9 Mail, MailDroid
"Атака на пользователей почтовых клиентов при помощи ссылок m..."
Отправлено economist , 20-Авг-20 23:39 
Щелкая по email - юзер хочет слать письмо, и должен быть уже настороже.

О том что вложились файлы - должно быть хорошо заметно в интерфейсе.

А что это секретные файлы - скажет расширение (в Thunderbird).

В нем же расширения говорят что получатель - из другого домена.

Наверно автоматом вкладывать файлы - не лучшая идея для протокола на обычный клик, но каких-то серьезных утечек - скорее всего не было.