Mihai Maties <[EMAIL PROTECTED]> scria la data de 11 Iunie 2005:
> On Friday 10 June 2005 23:16, Liviu Daia wrote:
> > Liviu Daia <[EMAIL PROTECTED]> scria la data de 10 Iunie 2005:
> > Scuze, analiza se poate termina mult mai repede: patch-ul adauga o
> > problema de securitate. In felul asta orice attachment binar (de
> > exemplu "virus.exe" :-)) care are tipul "text/plain" va fi trimis de
> > Ecartis intregului popor listas.
>
> Nu inteleg care e problema. Patch-ul face ca encoding-ul sa nu se
> schimbe, ecartis-ul nepatch-uit ti-ar fi trimis codul base64 inline
> direct in mesaj dar virus.exe tot ar fi ajuns la listasi(ilizibil,
> ce-i drept). Pe de alta parte daca trimiti mailul in formatul
> respectiv direct unui destinatar va ajunge exact la fel.
Problema tine de Outlook. Acesta va executa fericit un attachment
cu numele "virus.exe" si incodat ca Base64, fara sa tina cont de tip.
Nu va executa insa acelasi attachment daca encoding-ul este 8bit (nu
va sti sa-l decodeze). In esenta schimbarea fortata a encoding-ului
"dezarmeaza" attachment-urile, asta e rostul lui humanize-mime...
> Daca te referi la faptul ca tu trimiti practic un mail care nu are
> body ci direct un atasament si ca ecartis-ul ar fi trebuit sa-l
> stripuiasca asta e deja o alta problema, dar nu legata de patch.
Nu, problema e ca poti trimite attachment-uri binare chiar daca e
setat humanize-mime. Atat timp cat tipul este text/plain, Ecartis nu
are de unde sa stie ca acolo e de fapt cu totul altceva si nu are nici
un motiv sa-l strip-eze.
> > Pentru necredinciosi, atasez un demo trimis asa si primit inapoi de
> > la lista debug, incodat Base64 ca sa ramana intact (salvati intr-un
> > fisier si decodati, spre exemplu cu mimencode).
> >
> > Concluzie: nu e vorba de un bug, ci de un feature. :-) Daca
> > nu va convine, puneti "humanize-mime = false" si permiteti
> > attachment-urile binare. In esenta e acelasi lucru cu patch-ul
> > propus. :-)
>
> Nu e chiar asa, poate sunt MUA-urile mele idioate dar am incercat cu
> 2 si mailul trimis de tine pe debug imi arata in codul "virusului"
> direct in body.
Adevarat. Nu asta era problema.
> Cu ce poate fi asta periculos pentru un user ? E ca si cum ai trage la
> imprimanta virusul si ti-ar fi teama ca te infectezi, ca deh, esti in
> posesia codului viral.
Depinde de user. Daca ai fi citit mail-ul cu Outlook-ul iar acolo
ar fi fost chiar un virus, acum ai fi fost infectat. :-)
Salutari,
Liviu Daia
--
Dr. Liviu Daia http://www.imar.ro/~daia
---
Detalii despre listele noastre de mail: http://www.lug.ro/
