<div dir="ltr">Oh man.. check a few of the previous list emails on this subject. They're fairly detailed.<div><br></div><div>Farhan</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 16, 2018 at 3:04 AM, eira wahlin <span dir="ltr"><<a href="mailto:panina@nonbinary.me" target="_blank">panina@nonbinary.me</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi.<br>
I've been looking at a vulnerability in mail clients using pgp, described at <a href="http://efail.de" target="_blank">efail.de</a>. It is a technique where an attacker would inject a HTML IMG tag in an email, enveloping the encrypted text. This would send the cleartext message to the server inticated in the IMG tag.<br>
<br>
To me, it seems that this attack would be defeated by signing the encrypted message, which (to my knowledge) most email clients does by default.<br>
<br>
Am I missing something here? How do clients generally handle partially signed messages? Would they decrypt an encrypted message, if  it would be enveloped in a cleartext IMG tag?<br>
<br>
Panina, malmö, sweden<span class="HOEnZb"><font color="#888888"><br>
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.</font></span><br>______________________________<wbr>_________________<br>
Gnupg-users mailing list<br>
<a href="mailto:Gnupg-users@gnupg.org">Gnupg-users@gnupg.org</a><br>
<a href="http://lists.gnupg.org/mailman/listinfo/gnupg-users" rel="noreferrer" target="_blank">http://lists.gnupg.org/<wbr>mailman/listinfo/gnupg-users</a><br>
<br></blockquote></div><br></div>