<html><head><style>body{font-family:Helvetica,Arial;font-size:13px}</style></head><body style="word-wrap:break-word;line-break:after-white-space"><div id="bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px;color:rgba(0,0,0,1.0);margin:0px;line-height:auto"><br></div> <div id="bloop_sign_1526398786175086848" class="bloop_sign">On May 14, 2018 at 6:29:13 PM, Roberto C. Sánchez (<a href="mailto:roberto@connexer.com">roberto@connexer.com</a>) wrote:</div> <div><blockquote type="cite" class="clean_bq" style="font-family:Helvetica,Arial;font-size:13px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none"><span><div><div></div><div>On Mon, May 14, 2018 at 02:26:16PM -0700, Rick Hornsby wrote:<br>&gt;<span class="Apple-converted-space"> </span><br>&gt; It feels like we’re dealing with the same thing. Unless GPG has some kind<br>&gt; of code exploitation bug or built-in scripting engine that’s being abused,<br>&gt; I’m having difficulty finding fault with GPG here.<br>&gt;<span class="Apple-converted-space"> </span><br>I agree. EFF&#39;s reaction to this and their recommendation seem far off<br>base and out of step with what I have come to expect of them. Anybody<br>who is serious about security is already aware of the dangers of HTML<br>(you summarized the issues nicely in your message, though I did not<br>quote it here).</div></div></span></blockquote></div><p><a href="https://9to5mac.com/2018/05/14/apple-mail-security-flaw-encrypted-email/">https://9to5mac.com/2018/05/14/apple-mail-security-flaw-encrypted-email/</a></p><p>9to5mac has more/different detail than the EFF post. Unfortunately it confirms my suspicion that HTML (more specifically a client&#39;s outbound request for remote content) is the problem, but also that the near-term mitigation is easy - don’t allow remote content to load.</p><p>Also as per the article, I was wrong about iOS. [ Settings &gt; Mail &gt; Load Remote Images ] can be turned off.</p><p><br></p></body></html>