- security
- Icedove (Thunderbird) filtra l'adreça IP real
L'extensió Torbutton instal·lada a amnesia és incompatible amb Icedove (Thunderbird), l'adreça IP real de l'ordinador es revela al repetidor SMTP que s'utilitza per enviar correus electrònics.
Impacte
Quan s'utilitza Icedove per enviar correus electrònics, l'adreça IP real de
l'ordinador es revela al repetidor SMTP, que normalment l'anota en una
capçalera Rebut:
dins del correu electrònic de sortida. Per tant, aquesta
informació privada es divulga a:
- els administradors del repetidor SMTP;
- qualsevol persona que sigui capaç de llegir aquest correu electrònic enviat, inclosos: qualsevol persona a qui s'enviï el correu electrònic, diversos administradors de servidors de xarxa i de correu electrònic.
Quan s'utilitza una connexió a Internet amb NAT, la IP revelada és una de xarxa local (per exemple, 192.168.1.42), que normalment no revela massa. D'altra banda, quan us connecteu directament a Internet, per exemple utilitzant un mòdem PPP o DSL i sense encaminador, la IP revelada mostra realment la ubicació de l'usuari d'amnesia.
Solució
Actualitzeu a amnesia 0.4.1, que es llança amb Claws
Mail en lloc d'Icedove, i establiu les preferències següents a
~/.claws-mail/accountrc
per a cada compte:
set_domain=1
domain=localhost
Vegeu #6119 per a més detalls.
Mitigació
El millor és evitar utilitzar Icedove (Thunderbird) en amnesia fins que s'alliberin imatges fixes. Si no és possible:
- Utilitzeu amnesia darrere d'una connexió a Internet amb NAT, dins d'una LAN que utilitzi adreces IP generalitzades.
- Utilitzeu un repetidor SMTP fiable i amigable amb la privadesa que no anoti l'adreça IP del client enlloc, especialment a les capçaleres dels correus electrònics.
Tingueu en compte que l'ús de GnuPG no soluciona aquest problema en absolut: GnuPG només encripta el cos dels correus electrònics, les capçaleres dels correus sempre es mantenen clares.
Versions afectades
Qualsevol versió d'amnesia fins a la versió 0.3 (inclosa). L'amnesia 0.4 no es veu afectada.