From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 13 Jan 2021 13:14:58 +0300 From: "Vladimir D. Seleznev" To: ALT Linux Team development discussions Message-ID: <20210113101458.GA2353586@portlab> References: <20210111123020.GI5178@imap.altlinux.org> <20210112075517.0f87e328@tower> <20210112131815.GC20621@altlinux.org> <3518281610479823@mail.yandex.ru> <2642371610526287@mail.yandex.ru> <20210113115903.4639ac80477d5706b8e0a007@altlinux.org> <20210113092712.GA2269610@portlab> <20210113125529.3a565779f280be1abc042caf@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20210113125529.3a565779f280be1abc042caf@altlinux.org> User-Agent: Mutt/1.10.1 (2018-07-13) Subject: Re: [devel] html email in devel@ (was: Re: hazardous girar builder) X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 13 Jan 2021 10:14:58 -0000 Archived-At: List-Archive: List-Post: On Wed, Jan 13, 2021 at 12:55:29PM +0300, Andrey Savchenko wrote: > On Wed, 13 Jan 2021 12:27:12 +0300 Vladimir D. Seleznev wrote: > > On Wed, Jan 13, 2021 at 11:59:03AM +0300, Andrey Savchenko wrote: > > > On Wed, 13 Jan 2021 11:26:55 +0300 Aleksey Cheusov wrote: > > > > On Tue, 12 Jan 2021 23:54:22 +0300 Arseny Maslennikov wrote: > > > > > Извините, ради всего святого, но у многих активных читателей devel@ и > > > > > писателей в него же ваши письма из-под yamail выглядят примерно так, как > > > > > процитировано :(, > > > > > > У кого «у многих»? Даже mutt умеет отображать html-письма. > > > > Либо "как есть", либо через внешний рендер, привет RCE. > > Ну вот 10-секундный поиск в сети даёт мне, что w3m очень легко > туда прикручивается. Да хоть elinks -dump > Да, внешний рендер. И что? Работает же. Увеличивается сложность системы. Я уже написал про RCE [1], grep crafted HTML, как подтверждение, что это не просто теоретическая возможность. Да, вероятность наткнуться на это, особенно в этом списке рассылки, практически нулевая, должно быть злое намерение участника, но ты же почту не только из листов получаешь. И ещё вопрос: сможешь ли ты понять, что был успешно атакован? [1] https://www.cvedetails.com/vulnerability-list/vendor_id-15995/product_id-35351/opec-1/W3m-Project-W3M.html -- WBR, Vladimir D. Seleznev