Gratisverktøy tvinger Outlook til å konvertere e-post i HTML

Gratisverktøyet NoHTML tvinger Outlook til å konvertere HTML-formatert e-post til vanlig tekst. Dette hindrer blant annet smitte fra e-postormer som BadTrans og Nimda.

TruSecure Corporation, kjent blant annet for ICSA Labs som bistod FBI under etterforskningen av ILoveYou, driver veiledningsstedet NTBugTraq for profesjonelle Windows-brukere. Redaktøren til dette nettstedet og teknologisjef i TruSecure, Russ Cooper, har begått gratisverktøyet NoHTML som lar Microsofts e-postklient Outlook konvertere html-formatert e-post til ufarlige tekstformater.

Sikkerhetsbevisste brukere betrakter html-formatert e-post som en uting, fordi formatet kan brukes til å skjule ondsinnet kode. Det er mange eksempler på misbruk av egenskapen, blant annet kjente ormer den siste tiden som BadTrans og Nimda. Andre e-postklienter, blant andre Microsofts Entourage for Mac og Qualcomms Eudora for Windows, har en innstilling for å konvertere html til andre, ufarlige formater.

NoHTML er formet som en liten DLL-fil som kan installeres som en plug-in til Outlook 2000 og Outlook 2002 (den som kommer med Office XP). Den kan ikke installeres til Outlook Express eller Outlook 98. NTBugTraq gir utførlige anvisninger på både installasjon og avinstallasjon. Den aktuelle versjonen, 1.2, har vært gjennom en runde med 125 betatestere.

Virkningen er forskjellig i Outlook 2000 og Outlook 2002. Verktøyet utnytter funksjoner som er innebygget i Outlook, og er følgelig underlagt særegenhetene i Microsofts løsninger. NoHTML automatiserer formateringsendringer som Outlook ellers gir anledning til etter at du har åpnet en e-post - men altså før du åpner meldingen, slik at eventuell ondsinnet kode aldri får anledning til å virke.

I Outlook 2000 konverteres html-e-post til rtf ("rich text format"). Denne løsningen gir et sikkert resultat, men det advares at noen e-postmeldinger kan gjøres fullstendig uleselige, særlig hvis meldingen i sin helhet er basert på en tabell. Nyhetsbrevet fra ZDNets Anchordesk-tjeneste er et eksempel. NoHTML gjør dette brevet blankt.

I Outlook 2002 er denne bivirkningen avverget ved å utnytte en ny egenskap som Microsoft har lagt inn, nemlig konvertering fra html til vanlig tekst. Alle lenker gjengis som {HYPERLINK "http://..."}. Alle øvrige html-tagger og skript slettes.

NoHTML bryter ingen av Microsofts egne sikkerhetspakker eller innstillinger for Outlook-klientene.

Hvis du bruker forhåndsvisningsfunksjonen i Outlook, vil NoHTML få begrenset virkning. Årsaken er at denne funksjonen er laget slik at NoHTML utløses først etter forhåndsvisningen. Det betyr at ved første forhåndsvisning, gjengis html-meldingen i sitt opprinnelige format. Ved neste forhåndsvisning, gjengis den i konvertert format. Forhåndsvisningsfunksjonen deaktiverer noe aktiv kode, men ikke all, slik at du reduserer NoHTMLs effektivitet dersom du bruker forhåndsvisning.

Cooper anbefaler sterkt å slå av forhåndsvisningsfunksjonen, slik Outlook gir anledning til. Når forhåndsvisningen er slått av, trer NoHTML i kraft straks en melding er merket av markøren.

Han skriver at han helst ville laget NoHTML slik at den slår av forhåndsvisningsfunksjonen automatisk, men ga seg på dette etter sterke tilbakemeldinger fra brukere.

I visse tilfeller - eldre PC med svak ytelse, kombinert med store e-postmeldinger (ikke i vedlegg, men i selve meldingen) - kan man merke at NoHTML forsinker markørens bevegelse nedover meldingslisten. Under normale forhold skal NoHTML knapt være merkbart.

Til toppen