Мы же вас предупрежали!

[vitus_wagner]

Полгода назад я написат ругательный пост про LetsEncrypt. С общим смыслом "С изделием людей, которые так пишут, нельзя иметь дело там, где это касается безопасности".

Как показала практика, не только с изделием, но и с сервисами нельзя иметь дело.

Ибо вот.

Для того, чтобы написать софт для рассылок, который помещает явным образом в письмо адреса всех получателей, надо обладать знаниями о функционировании электронной почты на уровне типичной секретарши.

Comments

[tzirechnoy.livejournal.com]

Ну, не обязательно пользоваться их софтом. Я в итоге нашёл bash-скриптик, который сам всё делает с openssl.

PS Там, судя по деталям, дело не в незнании основ e-mail, а именно в баге реализацыи. Какую-то переменную не почистили...

[vitus_wagner]

Если грамотно проектировать, там просто не могло быть такого, чтобы список адресов был в общем пространстве памяти с формирующимся текстом письма.

[inkelyad.livejournal.com]

Здравый смысло говорит, что тут даже не нужно что-либо проектировать. Менеджеров списков рассылки уже написано в достаточном количестве, чтобы свой велосипед не изобретать.

[vitus_wagner]

Использовать готовый инструмент вместо того, чтобы кодировать всякую фигню заново, это и есть грамотное проектирование.

[besm6.livejournal.com]

Ну, в совсем общем пространстве памяти они все же будут. Если из адресной книги берется и адрес для отправки (аргумент функции отправки), и имя для обращения (тело письма), и их комбинация для заголовка To:

А дальше достаточно перепутать имя переменной при передаче в шаблон тела. Или помочь редактору программы его перепутать (если, например, это IDE с подсказкой имен или автодополнением - выбрал не тот вариант, и привет, и в подстановке в шаблон даже хаскель не спасет).