Enige veilige e-mail is text-only e-mail

[Captain Kirk]

Huidige webgebaseerde e-maildiensten zijn elektronische mijnenvelden die mensen verleiden om op linkjes te klikken, waardoor ze uiteindelijk slachtoffer van phishing en andere scams worden. De enige veilige e-mail is dan ook text-only e-mail, zo stelt Sergey Bratus, hoogleraar informatica aan Darthmouth College, een universiteit in de Verenigde Staten. Bratus houdt zich bezig met onderzoek naar malwaretechnieken.

Tegenwoordig is er veel aandacht voor het onderwijzen van gebruikers om niet op de verkeerde dingen te klikken. Volgens Bratus ligt het werkelijke probleem bij de e-mailclients die mensen gebruiken. Het gaat zowel om webgebaseerde e-maildiensten als programma's voor de desktop, zoals Outlook, die berichten op dezelfde onveilige wijze weergeven. De meeste e-mailprogramma's ondersteunen standaard html en andere opmaak. Het is hierdoor eenvoudig om malafide links aan een bericht toe te voegen die onschuldig lijken.

Bratus pleit dan ook voor een terugkeer naar text-only e-mail, waarbij een bericht alleen uit platte tekst zonder opmaak bestaat. Dat is namelijk de enige veilige e-mail, aldus de hoogleraar. "De terugkeer naar de oorsprong van e-mail in platte tekst lijkt misschien radicaal, maar het biedt radicaal betere veiligheid." Door het gebruik van platte tekst wordt het voor gebruikers veel duidelijker als er kwaadaardige scripts of malafide links aan een bericht zijn toegevoegd.

"De enige manier om veilig te zijn in de huidige webmailomgeving is de vaardigheden van een professionele webontwikkelaar te leren. Alleen dan zullen de lagen van html, JavaScript en andere code duidelijk worden. Alleen dan zullen de gevolgen van een klik van tevoren duidelijk worden", stelt Bratus. Hij vindt dat dit niet van gebruikers verwacht mag worden. De hoogleraar ziet dan ook een rol weggelegd voor softwareontwikkelaars om browsers en webmailsystemen te fixen, zodat gebruikers weten waarheen hun klik leidt.

"Als technologen hebben we al lang geaccepteerd dat sommige technologie gewoon een slecht idee is, zelfs als het er spannend uitziet. De maatschappij moet hetzelfde doen. Securitybewuste gebruikers moeten eisen dat hun e-mailprovider een optie voor platte tekst aanbiedt", gaat de hoogleraar verder. Hij stelt dat dit soort opties helaas erg schaars zijn, maar een belangrijke rol spelen om de onveiligheid van webmail op te lossen. Uiteindelijk zouden e-mailproviders die deze opties niet aanbieden door gebruikers vermeden moeten worden.

 

 

bron: security.nl