
<html>

  <head>

    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">On 12/16/2016 12:28 PM, Jim

      <a class="moz-txt-link-rfc2396E" href="mailto:squibblyflabbetydoo@gmail.com"><squibblyflabbetydoo@gmail.com></a> wrote:<br>

    </div>

    <blockquote

cite="mid:CAF6z7ptc0kSHHO5DmKOGGparCnADzXUUEfmjK3Zes6tfdsyWqA@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div class="gmail_extra">

          <div class="gmail_quote">On Fri, Dec 16, 2016 at 10:47 AM,

            Disaster Master <span dir="ltr"><<a

                moz-do-not-send="true"

                href="mailto:disasterlistmanager@gmail.com"

                target="_blank">disasterlistmanager@gmail.com</a>></span>

            wrote:<br>

            <blockquote class="gmail_quote" style="margin:0 0 0

              .8ex;border-left:1px #ccc solid;padding-left:1ex">

              <div bgcolor="#FFFFFF" text="#000000"><span class=""></span>If

                the 'browser' 'feature' in TB is removed, and only basic

                HTML email rendering is allowed (lock it down I say),

                what, exactly, are these mysterious risks?<br>

              </div>

            </blockquote>

          </div>

          <br>

        </div>

        <div class="gmail_extra">Generally, use-after-free allowing an

          attacker to execute arbitrary code. This happens more often

          with JS, but every part of Gecko is potentially vulnerable,

          and unlike websites, email gets *pushed* to you, making it

          more likely that even safe email habits can result in a

          breach. (To be fair, there's a similar problem with ad

          networks on the web, since they're the primary vector for

          malware when browsing.)<br>

        </div>

      </div>

    </blockquote>

    <br>

    Well, like I said, I was thinking (hoping?) there would be some way

    to mitigate these vectors by simply only allowing only a minimal

    subset of the HTML rendering capabilities to peek through. Enough to

    render an HTML reasonably well (simple bullet lists, tables, font

    settings, etc), but block useless and/or potentially harmful things

    (like JS - who needs that in an email, really?).<br>

    <br>

    Maybe something like NoScript for TB, but built in, with no way to

    disable it, but a well managed whitelist for things that are known

    to not be vulnerable/harmful.<br>

    <br>

    I was thinking it should be possible to render simply bullet lists,

    font settings, etc, in a reasonably secure fashion, shouldn't it?<br>

    <br>

    I know, more of my blissful ignorance showing here probably...<br>

    <br>

    <blockquote

cite="mid:CAF6z7ptc0kSHHO5DmKOGGparCnADzXUUEfmjK3Zes6tfdsyWqA@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div class="gmail_extra">About the only saving grace for Postbox

          (and Thunderbird, really) is that there aren't that many users

          compared to web browsers, so broad attacks don't make as much

          sense.<br>

        </div>

      </div>

    </blockquote>

    <br>

    It helps, but I've never been a fan of security through obscurity.<br>

  </body>

</html>