64/2788c1fe26d614aa5bf37fae5ee3cb3593eb00

   1 Return-Path: <dkg@fifthhorseman.net>\r
   2 X-Original-To: notmuch@notmuchmail.org\r
   3 Delivered-To: notmuch@notmuchmail.org\r
   4 Received: from localhost (localhost [127.0.0.1])\r
   5         by olra.theworths.org (Postfix) with ESMTP id 480AD431FC9\r
   6         for <notmuch@notmuchmail.org>; Wed, 21 Jan 2015 13:01:06 -0800 (PST)\r
   7 X-Virus-Scanned: Debian amavisd-new at olra.theworths.org\r
   8 X-Spam-Flag: NO\r
   9 X-Spam-Score: 2.438\r
  10 X-Spam-Level: **\r
  11 X-Spam-Status: No, score=2.438 tagged_above=-999 required=5\r
  12         tests=[DNS_FROM_AHBL_RHSBL=2.438] autolearn=disabled\r
  13 Received: from olra.theworths.org ([127.0.0.1])\r
  14         by localhost (olra.theworths.org [127.0.0.1]) (amavisd-new, port 10024)\r
  15         with ESMTP id d+F6aPWbu1kN for <notmuch@notmuchmail.org>;\r
  16         Wed, 21 Jan 2015 13:01:03 -0800 (PST)\r
  17 Received: from che.mayfirst.org (che.mayfirst.org [209.234.253.108])\r
  18         by olra.theworths.org (Postfix) with ESMTP id 1134A431FBC\r
  19         for <notmuch@notmuchmail.org>; Wed, 21 Jan 2015 13:01:03 -0800 (PST)\r
  20 Received: from fifthhorseman.net (unknown [38.109.115.130])\r
  21         by che.mayfirst.org (Postfix) with ESMTPSA id DF9A2F984\r
  22         for <notmuch@notmuchmail.org>; Wed, 21 Jan 2015 16:00:56 -0500 (EST)\r
  23 Received: by fifthhorseman.net (Postfix, from userid 1000)\r
  24         id 98AF220028; Wed, 21 Jan 2015 16:01:03 -0500 (EST)\r
  25 From: Daniel Kahn Gillmor <dkg@fifthhorseman.net>\r
  26 To: notmuch mailing list <notmuch@notmuchmail.org>\r
  27 Subject: privacy problem: text/html parts pull in network resources\r
  28 User-Agent: Notmuch/0.18.2 (http://notmuchmail.org) Emacs/24.4.1\r
  29         (x86_64-pc-linux-gnu)\r
  30 Date: Wed, 21 Jan 2015 16:00:59 -0500\r
  31 Message-ID: <87ppa7q25w.fsf@alice.fifthhorseman.net>\r
  32 MIME-Version: 1.0\r
  33 Content-Type: multipart/signed; boundary="=-=-=";\r
  34         micalg=pgp-sha512; protocol="application/pgp-signature"\r
  35 X-BeenThere: notmuch@notmuchmail.org\r
  36 X-Mailman-Version: 2.1.13\r
  37 Precedence: list\r
  38 List-Id: "Use and development of the notmuch mail system."\r
  39         <notmuch.notmuchmail.org>\r
  40 List-Unsubscribe: <http://notmuchmail.org/mailman/options/notmuch>,\r
  41         <mailto:notmuch-request@notmuchmail.org?subject=unsubscribe>\r
  42 List-Archive: <http://notmuchmail.org/pipermail/notmuch>\r
  43 List-Post: <mailto:notmuch@notmuchmail.org>\r
  44 List-Help: <mailto:notmuch-request@notmuchmail.org?subject=help>\r
  45 List-Subscribe: <http://notmuchmail.org/mailman/listinfo/notmuch>,\r
  46         <mailto:notmuch-request@notmuchmail.org?subject=subscribe>\r
  47 X-List-Received-Date: Wed, 21 Jan 2015 21:01:06 -0000\r
  48 \r
  49 --=-=-=\r
  50 Content-Type: text/plain\r
  51 \r
  52 If i send a message with a text/html part (either it's only text/html,\r
  53 or all parts are rendered, or it's multipart/alternative with only a\r
  54 text/html subpart) and that HTML has <img\r
  55 src="http://example.org/test.png"/> in it, then notmuch will make a\r
  56 network request for that image.\r
  57 \r
  58 This is a privacy disaster, because it enables an e-mail sender to use\r
  59 "web bugs" to tell when a given notmuch user has opened their e-mail.\r
  60 \r
  61 It's also a bit of a consistency/storage/indexing disaster because it\r
  62 means that what you see when you open a given message will change\r
  63 depending on the network environment you're in when you open it.\r
  64 \r
  65 It's also potentially a security problem because it means that anyone in\r
  66 control of the remote server (or the network between you and the remote\r
  67 server if the image isn't sourced over https) can feed arbitrary data\r
  68 into whatever emacs image rendering library is being used.  (granted,\r
  69 this is not a unique problem because this can already be done by the\r
  70 original message sender with a multipart/mixed message, but it's an\r
  71 additional exposure of attack surface)\r
  72 \r
  73 I just raised this on #notmuch, and i don't have the time or the\r
  74 knowledge to look into it now, but i think the defaults here need to be\r
  75 to avoid network access entirely unless the user explicitly requests it.\r
  76 \r
  77    --dkg\r
  78 \r
  79 --=-=-=\r
  80 Content-Type: application/pgp-signature; name="signature.asc"\r
  81 \r
  82 -----BEGIN PGP SIGNATURE-----\r
  83 Version: GnuPG v1\r
  84 \r
  85 iQJ8BAEBCgBmBQJUwBOMXxSAAAAAAC4AKGlzc3Vlci1mcHJAbm90YXRpb25zLm9w\r
  86 ZW5wZ3AuZmlmdGhob3JzZW1hbi5uZXRFQjk2OTEyODdBN0FEREUzNzU3RDkxMUVB\r
  87 NTI0MDFCMTFCRkRGQTVDAAoJEKUkAbEb/fpcKuAQAMnuWN5NfRUQicnrwnwcyNnu\r
  88 oZNk3nI8KisTm3UrURDq33ltlB9nDFBTImkfeZDGei+Swiqat2I6l1QXvGAUoTOE\r
  89 g7cdEpPkWZ1M0us14ymZTc4JZ24qTw5TIfD3So0NzO+hT/laQ7rlzvU7YZ9WT8yx\r
  90 Waq/1JtZihLwxZ7828oQ6AgalOyo8yAu2n6svoSeYukVJz5FCQIJtKBOqdWdmxGj\r
  91 sjdnxxklJymrXJnAlNVnESf8RW9x4IszWs2xmgea6DjuSKml85RpIiIkD653GL3C\r
  92 Doua5vIeAQ5qDA3o7IK3QimZRPD3z8cXeyQ4+yH259lNIo/dzekxAXjDvNWs12P+\r
  93 SMwPm099bSSCPenG/jT9wz7RrUjWNFL1c7PbGLRuQzk8vyF66yLHnLIamA+wSSTu\r
  94 78jLnn0yCgyu1H9X38W8nnKu/U91xDxQKkA7W/ys4jI5+hBViCwsyet/O0xR/ALd\r
  95 aGHMTSp6Ec3e7kOLZnaEvYtUQmZuDlkz1KtASh3R+T27EFaXiUUx7X5UVCyQLoN0\r
  96 D4k+1i/6V6FjZbNSq0Wol7gMpSK4k6MYTkv0MV+IzJHaegmMHIulltR8rpKGhNDj\r
  97 deeFJg0boYt0g3MtYr0EX8Y9aG1B/xhlhr/p7lPF5oVs1nfp0tDXAVEp5Slu/y20\r
  98 i24iTRcKqnuPLK3rndD6\r
  99 =aVPR\r
 100 -----END PGP SIGNATURE-----\r
 101 --=-=-=--\r