Hallo, Javascript ist ja anscheinend eher eine unterschäzte Gefahr und Javascript kann ja unbemerkt z.B. in PDF-Dateien untergejubelt werden. Insbesondere Email-Apps, die bequem auf dem Smartphone laufen, lassen ja gerne Javascript einfach so durch. Wie ist das aber, wenn man Emails und Email-Anhänge prinzipiell nur auf der Internetseite des Providers öffnet? Ich meine öffnen von PDF-Dateien im Sinne von Anzeigen auf dem Bildschirm, das ist ja dann kein Download. Um dann das angezeigte PDF-Dokument auf das Smartphone zu bekommen, genügt ja einfach nur ein Screenshot und schon hat man es als Foto. Danke für Info.
Javascript - Gefahr - Emails
- Ersteller Baru
- Erstellt am
O
onesworld
Gast
Wenn dir dein Client auf dem Smartphone eine PDF anzeigt, dann lädt er sie runter und öffnet sie in der entsprechenden App. Ohne Download kannste dir nichts angucken, sowas wird nicht per Screenshots gemacht.
Und ich werde einen Teufel tun und Emailanhänge auf meinem Emailserver öffnen lassen. Lustiger Gedanke, was die User dann so anstellen könnten, wenn manipulierte Dateien in Emails mal eben so auf dem Server ausgeführt werden um einen Screen zu erstellen.
Und ich werde einen Teufel tun und Emailanhänge auf meinem Emailserver öffnen lassen. Lustiger Gedanke, was die User dann so anstellen könnten, wenn manipulierte Dateien in Emails mal eben so auf dem Server ausgeführt werden um einen Screen zu erstellen.
Zitat: "Und ich werde einen Teufel tun und Emailanhänge auf meinem Emailserver öffnen lassen. Lustiger Gedanke, was die User dann so anstellen könnten, wenn manipulierte Dateien in Emails mal eben so auf dem Server ausgeführt werden um einen Screen zu erstellen. "
Entschuldigung, kannst du das bitte mal näher erklären? Mir geht es nur darum, PDF-Dateien ansehen zu können, ohne daß dabei noch weiterer Müll a la Javascript ausgeführt wird. Danke.
"Entschuldigung, kannst du das bitte mal näher erklären? Mir geht es nur darum, PDF-Dateien ansehen zu können, ohne daß dabei noch weiterer Müll a la Javascript ausgeführt wird. Danke.
S
SpamBot
Gast
So funktioniert das Internet in der Regel nicht. Auf jeder Webseite bekommst du Daten zugeschickt und was du auf deinem Bildschirm sieht wird von deinem PC bzw. deinem Browser berechnet.Baru schrieb:
O
onesworld
Gast
Und wie willst du die bitte ansehen, wenn du sie nicht öffnest? Das Öffnen passiert auf deinem Gerät, nicht auf dem Server. Dein Gerät ist dafür zuständig, was ausgeführt wird und was nicht.
Passender Vergleich: du bestellst was, der Paketdienst kommt. Wer macht das Paket auf?
Passender Vergleich: du bestellst was, der Paketdienst kommt. Wer macht das Paket auf?
S
SpamBot
Gast
Die Erklärung habe ich zufällig schon gegeben. Der Server lagert in der Regel alle Berechnungen auf deinen PC aus. Anders herum könnte man ja jeden Email Server Instant hacken. Ich bräuchte ja mir einen Virus hinschicken und diesen ausführen.Baru schrieb:
O
onesworld
Gast
Das hat doch mit dem Emailverteiler nichts zu tun. Der Betreiber deines Emaildienstes darf deine Anhänge in der Regel auch gar nicht öffnen, was erschwerend hinzukommt.
Wie würdest du es finden, wenn die Post dazu übergeht, dir keine Briefe mehr zuzustellen, sondern nur noch Fotos davon, die sie dir in den Briefkasten werfen?
Wie würdest du es finden, wenn die Post dazu übergeht, dir keine Briefe mehr zuzustellen, sondern nur noch Fotos davon, die sie dir in den Briefkasten werfen?
1. Vorschaufunktion der E-Mail App deaktiveren
2. Entsprechende Funktion - falls vorhanden - im PDF Viewer deaktivieren. Adobe ist am bekanntesten dafür, anfällig zu sein, nicht unbedingt bezgl. js, aber generell.
Sonst verschleppst du m.E. nach das Problem nur. Nächsten Monat klickst du auf eine E-Mail und siehst erst hinterher, dass sie mit pdf ist, die dir inline angezeigt wird.
2. Entsprechende Funktion - falls vorhanden - im PDF Viewer deaktivieren. Adobe ist am bekanntesten dafür, anfällig zu sein, nicht unbedingt bezgl. js, aber generell.
Sonst verschleppst du m.E. nach das Problem nur. Nächsten Monat klickst du auf eine E-Mail und siehst erst hinterher, dass sie mit pdf ist, die dir inline angezeigt wird.
Auf dem iPhone brauche ich keinen PDF-Viewer, das kann PDFs auch selber öffnen. Einfach drauftippen und dann geht das auf. Ich kann allerdings Javascript deaktivieren: Was für Schadcode kann denn sonst noch in PDF-Dateien drin sein?
Ich weiß persönlich auch grad nicht, was noch alles so eingebettet werden kann in PDF. Nutze generell nur simple Linux-Viewer, die sowieso keine besonderen Funktionen des PDF-Formates verwenden. Bin gespannt was andere dazu schreiben.
Weiß grad nur noch, dass es über die Jahre diverse Exploits für die Adobe Produktreihe gab.
Zur Terminologie: Als "PDF-Viewer" wird man jedes Programm bezeichnen das dir ein PDF-Dokument darstellt, unabhängig davon ob das eine spezielle App oder eine eingebaute die evtl. noch nicht einmal einen sichtbaren Namen hat.
Weiß grad nur noch, dass es über die Jahre diverse Exploits für die Adobe Produktreihe gab.
Zur Terminologie: Als "PDF-Viewer" wird man jedes Programm bezeichnen das dir ein PDF-Dokument darstellt, unabhängig davon ob das eine spezielle App oder eine eingebaute die evtl. noch nicht einmal einen sichtbaren Namen hat.
