
<div dir="auto"><div>well that's a big problem for mail. add-ons too. wouldn't that require full code reviews again?<div dir="auto"><br></div><div dir="auto">to show a specific example and obvious, I am using key listeners  in all edit boxes in the Zombie keys extension in order to allow dead key functionality (e.g to transform u=> ü on a US key layout).</div><div dir="auto"><br></div><div dir="auto">Axel</div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue 7 Jul 2020, 00:39 Ben Bucksch, <<a href="mailto:ben.bucksch@beonex.com">ben.bucksch@beonex.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
  <div>

    <div><br>

    </div>

    <blockquote type="cite">Berna

      inquired if there are more thoughts on doing a code audit (related

      to crypto).</blockquote>

    <p><br>

    </p>

    <p>An important addition from the security standpoint: If you want

      to secure the crypto users, the scope of an audit must be not only

      code related to crypto, but 100% all of Thunderbird, when it comes

      to critical security holes. Per <a href="https://www.mozilla.org/en-US/security/advisories/" target="_blank" rel="noreferrer">definition</a>,

      any critical hole anywhere in Thunderbird allows an attacker to

      also read the private keys, install a keylogger, and read all

      stored mail, and not only that, but most other documents owned of

      that user on that computer, even outside of mail. So, a security

      audit only of crypto related code is not the right perspective.</p>

    <p>The best start is to look for critical holes first, before

      looking for crypto audits.<br>

    </p>

    <p>Of course, given that all the crypto code is new, it's a good

      idea to look at that as well.<br>

    </p>

  </div>


_______________________________________________<br>

tb-planning mailing list<br>

<a href="mailto:tb-planning@mozilla.org" target="_blank" rel="noreferrer">tb-planning@mozilla.org</a><br>

<a href="https://mail.mozilla.org/listinfo/tb-planning" rel="noreferrer noreferrer" target="_blank">https://mail.mozilla.org/listinfo/tb-planning</a><br>

</blockquote></div></div></div>