Gli esempi pubblicati per sfruttare la vulnerabilità della crittografia e-mail EFAIL sembrano utilizzare l'HTML per creare un backchannel per l'exfiltrazione dei dati decrittografati.
Tuttavia, la home page di EFAIL, link , afferma:
Short term: Disable HTML rendering. [...]
Note that there are other possible backchannels in email clients which are not related to HTML but these are more difficult to exploit.
Per quanto posso vedere, tutti gli esempi pubblicati si basano sul caricamento di contenuti remoti (cioè cose collegate da una posta HTML, come immagini o CSS).
- Perché è consigliabile disattivare completamente il rendering HTML? Non sarebbe sufficiente disabilitare il caricamento di contenuti remoti (che è il default nella maggior parte dei moderni programmi di posta comunque)?
- Quali altri backchannel ci sono che "non sono correlati all'HTML"? Gli autori hanno elaborato questo da qualche parte?