40tude Dialog – Bekannte Sicherheitsprobleme und (sofern verfügbar) Lösungsmöglichkeiten

  1. Allgemeine Hinweise
  2. Wie baut man verschlüsselte Verbindungen zu Mail- und Newsservern auf?
  3. Sind die gespeicherten Zugangspasswörter sicher vor lokalen Zugriffen?
  4. Lässt sich die Bildanzeige für den Header X-Face unterbinden?

Hinweis Allgemeine Hinweise

Da die Entwicklung von 40tude Dialog seit 2005 eingestellt ist, sind bei der Installation und dem Betrieb des Programmes einige sicherheitstechnische Einschränkungen zu beachten und ggf. alternative Lösungen für einzelne Programmfunktionen in Erwägung zu ziehen. So umgeht z. B. eine portable Installation die bei der Standardinstallation zusätzlich erforderlichen manuellen Konfigurationsschritte. Zudem ermöglicht sie eine einfachere Übertragung des Programms mit allen Nutzerdaten und Einstellungen zwischen verschiedenen Rechnern und sogar den Betrieb von mobilen Datenträgern wie USB-Sticks. Auf typisch konfigurierten Rechnern ohne erweiterte Sicherheitsbeschränkungen durch Gruppenrichtlinien (englisch: Policies) bzw. lokale Vorgaben ergibt sich durch die portable Installation für das System kein erhöhtes Sicherheitsrisiko, da auf derartigen Rechnern üblicherweise Dutzende bis mehrere Hundert (und mehr) Programmdateien in ungeschützten Verzeichnissen liegen, wo sie – vergleichbar zu einem portabel installierten 40tude Dialog – potenziell als Infektionsträger für Schadsoftware dienen können. Darüber hinaus kann eine Schadsoftware in ungeschützten Verzeichnissen jederzeit auch neue Dateien als Infektionsträger hinterlegen.

Dringend empfohlen wird die Nutzung eines SSL-Proxies für die verschlüsselte Kommunikation mit Mail- und Usenet-Servern. Hier ist die Entwicklung in den letzten Jahren stark vorangeschritten. Die in 40tude Dialog integrierten Verschlüsselungsfunktionen sind nicht mehr zeitgemäß. Aufgrund dieser Empfehlung wird auf eine Auflistung bekannter Bugs der in 40tude Dialog eingebundenen Funktionen aus Bibliotheken von Drittanbietern (Indy, OpenSSL) und der Bewertung ihrer Auswirkungen (gewöhnlich: vollständige Irrelevanz) für die Netzwerkkommunikation und Verschlüsselung durch 40tude Dialog in dieser FAQ verzichtet.

Bereits konzeptionell ist 40tude Dialog auf Informationssicherheit ausgerichtet. So wird das Nachladen von extern verknüpften Inhalten (meist Bildern) sowohl in Mails als auch in Usenet-Nachrichten unterdrückt. In der Html-Anzeige wird in solchen Fällen ein Platzhalterbild (no_load) als Hinweis eingeblendet. Im Dialog Allgemeine Einstellungen (Aufruf über das Menü Einstellungen ► Allgemeine Einstellungen…) lässt sich unter Anhänge die automatische Vorschau für das erste in einer Nachricht enthaltene Bild deaktivieren. Keinen ausreichenden Schutz bietet hingegen die Ausblendung des Vorschaubereichs durch Verkleinerung auf die Breite 0. Bei nicht deaktivierter Vorschau wird das Bild dann trotzdem im Hintergrund gerendert. Somit könnten (es ist kein Fall bekannt) speziell präparierte Bilder ggf. die in 40tude Dialog integrierten – seit Jahren nicht aktualisierten – Funktionen zur Bildanzeige angreifen.

Ebenfalls im Bereich Anhänge des Dialogs Allgemeine Einstellungen lässt sich unterbinden, dass bestimmte Dateitypen direkt aus der Liste der Anlagen mittels Doppelklick gestartet werden können. (Schad-)Programme würden hierdurch unmittelbar ausgeführt. Deshalb sind die betreffenden Dateitypen in der Standardeinstellung gesperrt. Die – durch Semikolon separierte – Liste von Dateierweiterungen lässt sich beliebig anpassen. So kann auch für Dokumente, z. B. Pdf-Dateien, die Anzeige mit dem unter Windows als Standardbetrachter registrierten Programm auf Doppelklick verhindert werden, indem die entsprechende Dateierweiterung (hier: *.pdf) in der Liste ergänzt wird. Unspezifische Filter wie *.* werden hingegen ignoriert!

Zu beachten ist die missverständliche deutsche Übersetzung für diese Einstellung:
„Nie Anhänge mit diesen Dateierweiterungen zusammenfügen“ scheint auf das Multipartmanagement von Nachrichten aus Binary-Newsgruppen hinzudeuten.
Im englischen Original heißt dieser Punkt hingegen richtiger: „Never execute attachments with these extensions“.

Standardanzeige für alle Nachrichten mit mehreren integrierten Darstellungsvarianten ist die Textversion (sofern vorhanden). Die Html-Anzeige interpretiert keinerlei aktive Inhalte, wie eingebettetes Javascript o. ä. Mit integrierten Betrachtern lassen sich als Anlagen zu Mails beiliegende oder in Binary-Usenet-Nachrichten versandte Bilder anzeigen und Multimediadateien (Sound, Videos) abspielen. Zur Anzeige eines Bildes bzw. Wiedergabe eines Multimediaelementes im Nachrichtenfenster muss es in der Liste der Anlagen ausdrücklich markiert werden. Bei Multimediaelementen ist für die Wiedergabe zusätzlich der Start über die Multimedia-Steuerelemente erforderlich, welche bei kompatiblen Dateitypen in der Nachrichten-Ansicht eingeblendet werden. Aufgrund des Alters der eingebundenen Komponenten sollte aus Sicherheitsgründen auf Nutzung der internen Bild- und Multimedia-Wiedergabe verzichtet werden. Besser ist es, alle Anlagen über das Menü [Artikel] ► [Anhänge] (bzw. über das Menü der rechten Maustaste in der Liste der Anlagen) zu speichern und dann mit externen Betrachtern wiederzugeben. Fragwürdige Nachrichten (insbesondere Spam-Mails) sollten ohne Markierung von Anlagen gelöscht werden.

In Nachrichten enthaltene X-Face-Header werden von 40tude Dialog ausgewertet und zu Bildern gerendert. Sicherheitsbezogene Hinweise zum möglichen Umgang mit diesem Header gibt es hier. Der neuere Face-Header mit Hinterlegung eines farbigen Bildes im PNG-Format erfordert hingegen zur Anzeige das Hilfsprogramm FaceView von Maik Prinz in Verbindung mit einem Skript von Dietmar Vollmeier (Download). Durch Verzicht auf Installation dieser Erweiterung lässt sich bei Sicherheitsbedenken somit eine Auswertung vorhandener Face-Header unterbinden.

Top Home

Frage Wie baut man verschlüsselte Verbindungen zu Mail- und Newsservern auf?

Antwort

40tude Dialog unterstützt die verschlüsselte Kommunikation mit Mail- und Usenet-Servern durch fest in die Programmdatei eingebundene (= „statisch verlinkte“) Funktionen der Softwarebibliotheken Internet Direct (Indy) und OpenSSL. Wegen der statischen Verlinkung können diese Bibliotheken nicht einfach durch neuere Versionen ersetzt werden. Für Indy und OpenSSL wurden zwischenzeitlich sicherheitsrelevante Fehler festgestellt. Diese beziehen sich allerdings bisher nur auf Funktionen, welche 40tude Dialog nicht verwendet. (Und die i. d. R. auch erst später in den Programmcode beider Bibliotheken integriert wurden.) Somit sind für 40tude Dialog keine ausnutzbaren Sicherheitslücken bekannt.

Allerdings unterstützt der alte Programmcode weder die aktuellsten Verschlüsselungsverfahren noch neuere Methoden zur effektiven Aushandlung und Abwicklung der verschlüsselten Kommunikation. Für eine zunehmende Anzahl an Servern scheitert daher der Versuch eines verschlüsselten Verbindungsaufbaus. Zudem lassen sich heute als unsicher geltende Verfahren nicht auf Seiten von 40tude Dialog unterbinden. Hier muss darauf vertraut werden, dass serverseitig eine geeignete Konfiguration vorliegt.

Erschwerend kommt hinzu, dass einige von Mail- und Usenet-Servern übertragene Zertifikate (welche gewährleisten sollen, dass die verschlüsselte Kommunikation tatsächlich mit dem angesprochenen Zielserver erfolgt und nicht abgefangen wurde) mittlerweile so umfangreich sind, dass der von 40tude Dialog für sie reservierte Speicherplatz nicht ausreicht. 40tude Dialog erkennt dieses Problem und beendet sich in einem solchen Fall mit einer Fehlermeldung.

Unverschlüsselte Kommunikation ist keine Alternative, auch wenn im Falle von Usenet-Nachrichten die Inhalte ohnehin öffentlich sind oder werden. Jeder (Erst-)Zugriff auf Mail- bzw. Usenet-Server überträgt auch (persönliche) Anmeldedaten. (Folgeabrufe während einer aktiven Verbindung erfolgen teilweise ohne neuerliche Authentifizierung.) Werden die betreffenden Informationen durch kriminelle Dritte abgefangen, können diese im Namen des Nutzers strafbare Handlungen (Beleidigungen, strafbewehrte Propaganda, Geheimnisverrat, Urheberrechtsverletzungen usw.) begehen, ohne dass dies – selbst bei Auswertung der Serverprotokolle durch Strafverfolgungsbehörden – als fremdverursacht erkennbar wäre. Das Risiko des Abfangens der Anmeldedaten ist nur bei Identität von Internetzugangsprovider und Serviceanbieter für Mail bzw. Usenet (mittlerweile eher die Ausnahme) gering, sonst jedoch hoch.

Um 40tude Dialog mit zeitgemäß verschlüsselte Verbindungen nutzen zu können, empfiehlt sich der Einsatz eines lokalen Proxies für SSL/TLS, wie stunnel. Dieses Programm wird zunächst in der aktuellsten Version heruntergeladen und auf dem gleichen Rechner wie 40tude Dialog mit Standardeinstellungen installiert. Anschließend sind sowohl in 40tude Dialog als auch in stunnel die Einstellungen aufeinander anzupassen.

Konfigurationsschritte für 40tude Dialog (Usenet über stunnel)

  1. Aufruf des Dialogs Server- / Identitätseinstellungen über das Menü Einstellungen ► Server, Identitäten, Signaturen…
  2. Konfigurationsbereich Newsserver auswählen
    • Nach einer Neuinstallation bzw. beim Wechsel des Usenet-Providers können hier neue Einträge erstellt werden. Dann benötigt man vom Provider die Zugangsinformationen.
    • Sofern bereits Einträge für Server vorhanden sind, sollte man sich alle Informationen notieren, die im folgenden Schritt ausgetauscht werden. Diese werden später bei der Konfiguration von stunnel benötigt.
  3. Eintrag Host auf localhost setzen
    • Statt localhost kann auch 127.0.0.1 geschrieben werden. Beide Bezeichnungen sprechen identisch den lokalen Rechner an.
    • Diese Einstellung ist für jeden Server, der künftig über stunnel ins Internet gehen soll, identisch.
  4. Haken bei SSL nicht setzen (bzw. entfernen)
    • Die Einstellung betrifft ab sofort nur noch die Kommunikation zwischen 40tude Dialog und stunnel. Da diese ausschließlich lokal auf dem Rechner stattfindet, ist eine Verschlüsselung i. d. R. nicht sinnvoll.
  5. Eindeutige Nummer für Port festlegen
    • Theoretisch ist jeder beliebige Wert wählbar, sofern er an keiner anderen Stelle für die Kommunikation auf dem lokalen Rechner Verwendung findet. Relativ sicher gelingt die Auswahl durch Meidung von registrierten Ports.
    • Für jeden über stunnel anzubindenden Usenet-Server (Verbindungsprotokoll: NNTP) ist zwingend eine andere Portnummer anzugeben.
    • Die Standard-Portnummer 119 für unverschlüsselte Kommunikation über NNTP kann verwendet werden, wenn nur ein einziger Usenet-Server über stunnel angesprochen werden soll.
    • Werden Zugänge zu mehreren Usenet-Servern eingerichtet, erleichtert es die Verwaltung und Fehlersuche, wenn auf unregistrierte Portnummern zurückgegriffen wird, die eine gewisse „Verwandtschaft“ zu den jeweiligen Standardports aufweisen. Anstelle des Standardports 119 für unverschlüsselte NNTP-Verbindungen können z. B. die Ports 1191 bis 1193 und 1195 bis 1197 (lies: Verbindungen über 119 Nr. 1 bis 3 und 5 bis 7) Verwendung finden. Port 1194 ist für OpenVPN registriert.
  6. Alle sonstigen Einstellungen (z. B. Benutzername und Passwort) bleiben unverändert bzw. werden nach den Vorgaben des Zugangsproviders neu eingetragen.

Konfigurationsschritte für 40tude Dialog (Mail über stunnel)

  1. Aufruf des Dialogs Server- / Identitätseinstellungen über das Menü Einstellungen ► Server, Identitäten, Signaturen…
  2. Konfigurationsbereich Identitäten auswählen
    • Nach einer Neuinstallation bzw. beim Wechsel des Mail-Providers können hier neue Einträge erstellt werden. Dann benötigt man vom Provider die Zugangsinformationen.
    • Sofern bereits Einträge für Server vorhanden sind, sollte man sich alle Informationen notieren, die im folgenden Schritt ausgetauscht werden. Diese werden später bei der Konfiguration von stunnel benötigt.
  • Die nachfolgenden Schritte sind jeweils für die Karteireiter POP3 und SMTP zu wiederholen.
  1. Eintrag Host auf localhost setzen
    • Statt localhost kann auch 127.0.0.1 geschrieben werden. Beide Bezeichnungen sprechen identisch den lokalen Rechner an.
    • Diese Einstellung ist für jeden Server, der künftig über stunnel ins Internet gehen soll, identisch.
  2. Haken bei SSL nicht setzen (bzw. entfernen)
    • Die Einstellung betrifft ab sofort nur noch die Kommunikation zwischen 40tude Dialog und stunnel. Da diese ausschließlich lokal auf dem Rechner stattfindet, ist eine Verschlüsselung i. d. R. nicht sinnvoll.
  3. Eindeutige Nummer für Port festlegen
    • Theoretisch ist jeder beliebige Wert wählbar, sofern er an keiner anderen Stelle für die Kommunikation auf dem lokalen Rechner Verwendung findet. Relativ sicher gelingt die Auswahl durch Meidung von registrierten Ports.
    • Für jeden über stunnel anzubindenden Mail-Server (unterstützte Verbindungsprotokolle: POP3 und SMTP) ist zwingend eine andere Portnummer anzugeben.
    • Die Standard-Portnummern 110 für unverschlüsselte Kommunikation über POP3 und 25 über SMTP können verwendet werden, wenn jeweils nur ein einziger POP3-Server bzw. SMTP-Server über stunnel angesprochen werden soll.
    • Werden Zugänge zu mehreren Mail-Servern eingerichtet, erleichtert es die Verwaltung und Fehlersuche, wenn auf unregistrierte Portnummern zurückgegriffen wird, die eine gewisse „Verwandtschaft“ zu den jeweiligen Standardports aufweisen. Anstelle des Standardports 110 für unverschlüsselte POP3-Verbindungen können z. B. die Ports 1101 bis 1108 (lies: Verbindungen über 110 Nr. 1 bis 8) Verwendung finden. Statt des Standardports 25 für unverschlüsselte SMTP-Verbindungen können wiederum die Ports 2501 bis 2517 (lies: Verbindungen über 25 Nr. 01 bis 17) genutzt werden. Falls auf dem Rechner TheosNet-Admin für TheòsMessenger laufen sollte (unwahrscheinlich – Thèos ist eine IT-Firma aus dem Umfeld der brasilianischen katholischen Kirche: Theòs Informática Ltda.), muss auf Port 2501 verzichtet werden.
  4. Alle sonstigen Einstellungen (z. B. Benutzername und Passwort) bleiben unverändert bzw. werden nach den Vorgaben des Zugangsproviders neu eingetragen.

Konfigurationsschritte für stunnel (SSL/TLS-Proxy für 40tude Dialog)

  1. Konfigurationsdatei von stunnel öffnen
    • Bei einer Standardinstallation zeigt stunnel ein Symbol mit azentrischen Kreisen (außen schwarz, innen weiß, dazwischen grün bzw. türkis) im Infobereich der Taskleiste an. (Neben der Uhr; bei den anderen Symbolen aktiver Systemprozesse.)
    • Klick mit rechter Maustaste auf dem Symbol öffnet ein Menü, in welchem sich der Eintrag Edit Configuration findet. Nach Auswahl dieses Eintrages mit der linken Maustaste wird die aktuelle stunnel.conf im Standard-Editor geöffnet.
    • Nach der Installation enthält die Konfigurationsdatei einige auskommentierte (und damit inaktive) Beispieleinträge. (Jede Zeile mit vorangestelltem Semikolon wird als Kommentar interpretiert.)
    • Für eigene Konfigurationen können wahlweise bestehende Beispiele angepasst und ent-kommentiert (= führende Semikolons löschen) oder neue Einträge verfasst werden.
  • Für jede Serververbindung ist ein eigener Block mit Einstellungen erforderlich:
  • Wurden in 40tude Dialog 3 Usenet-Server und 2 Identitäten mit jeweils eigenem Mailzugang über POP3 und SMTP zur Kommunikation über stunnel konfiguriert (Eintrag Host steht auf localhost bzw. 127.0.0.1), sind in stunnel.conf 7 Blöcke mit individuellen Einstellungen (3 NNTP, 2 POP3, 2 SMTP) zu erzeugen.
  • Beispiel-Einstellungsblock für den Usenet-Newsserver „Eternal September“:
  • [EternalSeptember_NNTP]
    client = yes
    accept = localhost:1191
    connect = news.eternal-september.org:563
    verifyChain = yes
    CAfile = ca-certs.pem
    checkHost = news.eternal-september.org
    OCSPaia = yes
  1. Eindeutige Bezeichnung für den Einstellungsblock in eckigen Klammern vergeben
    • Es ist sinnvoll, hier den Providernamen zu verwenden. Kommt dieser mehrfach für verschiedene Einstellungsblöcke vor, muss eine zusätzliche Kennzeichnung (z. B. das Verbindungsprotokoll und / oder eine laufende Nummer) ergänzt werden. – Im Beispiel: [EternalSeptember_NNTP]
    • Die Bezeichnung des Einstellungsblockes sollte keine Leerzeichen enthalten.
  2. Einstellung client für Verbindungen von 40tude Dialog immer auf yes setzen
    • 40tude Dialog bietet keine Serverdienste an.
  3. Einstellung accept beginnt immer mit localhost bzw. 127.0.0.1; abgetrennt durch Doppelpunkt folgt die Nummer, welche in 40tude Dialog als ausgehender Port für die betreffende Verbindung eingestellt wurde (hier: 1191).
    • Mit dieser Einstellung ist sichergestellt, dass 40tude Dialog und stunnel auf dem lokalen Rechner (aka localhost, aka 127.0.0.1) über den gleichen Port (1191) miteinander kommunizieren, wenn Daten von und nach EternalSeptember übertragen werden sollen.
  4. Einstellung connect beginnt mit der Internetadresse des Zielservers (hier: news.eternal-september.org); abgetrennt durch Doppelpunkt folgt die Portnummer des Zielservers, unter welcher dieser verschlüsselte Verbindungen aufbaut (hier der Standardport für verschlüsselte NNTP-Verbindungen: 563).
    • Die hier einzustellenden Werte erfährt man von seinem Provider. Waren diese bisher in 40tude Dialog hinterlegt, sollte man sie bei der dortigen Änderung notiert haben und kann sie nun hier übernehmen.
  5. Einstellung checkHost wiederholt i. d. R. nochmals die Internetadresse des Zielservers (hier: news.eternal-september.org)
    • Das beim Verbindungsaufbau übermittelte Zertifikat muss für diesen Server ausgestellt sein. Andernfalls ist regelmäßig davon auszugehen, dass ein anderer Server versucht, sich (unberechtigterweise) für den Zielserver auszugeben.
  6. Alle sonstigen Einstellungen des Konfigurationsbeispiels stellen sinnvolle Standardeinstellungen für eine sichere Kommunikation dar und sollten unverändert in jeden Einstellungsblock übernommen werden. )
    • Detailangaben zu diesen (und weiteren möglichen) Einstellungsoptionen finden sich bei Bedarf in der Dokumentation von stunnel.
  • Sind die Einstellungsblöcke für alle Serververbindungen vollständig erstellt, können die geänderte stunnel.conf gespeichert und der Editor beendet werden.
  1. Aktualisierte Konfiguration laden
    • Damit die geänderten Einstellungen nicht erst nach einem Rechnerneustart wirksam werden, kann mit einem rechten Mausklick auf das Symbol von stunnel im Infobereich der Taskleiste nochmals das Menü von stunnel geöffnet werden. Dort lassen sich über den Eintrag Reload Configuration die aktualisierten Einstellungen übernehmen.

Kommt es zu Problemen im Zusammenspiel von 40tude Dialog und stunnel, sollten in einem ersten Schritt alle Einstellungen nochmals in Ruhe überprüft werden. Erscheint alles korrekt, ist ein Blick in die Verbindungsprotokolle hilfreich. In 40tude Dialog erreicht man dieses über das Menü Einstellungen ► Statusfenster anzeigen auf dem dortigen Karteireiter Meldungen. Der über die rechte Maustaste in diesem Fenster erreichbare Meldungsumfang sollte wenigstens auf „Fehlermeldungen“ (besser: auf „Warnmeldungen“ bzw. „Informationsmeldungen“, aus Performancegründen jedoch nicht auf den noch intensiveren Detailstufen) stehen. In stunnel öffnet sich die Logdatei u. a. nach einem Doppelklick auf dem Programmsymbol im Infobereich der Taskleiste.

Top Home

Frage Sind die gespeicherten Zugangspasswörter sicher vor lokalen Zugriffen?

Antwort

Nein! – Zugangspasswörter werden in 40tude Dialog zwar verschlüsselt in der Datei data\servers.dat abgelegt. Nach Start von 40tude Dialog und Anzeige der Passwort-Eingabefelder im Konfigurationsdialog Server- / Identitätseinstellungen lassen sich die Passwörter allerdings mit geeigneten Programmen, z. B. NirSoft BulletsPassView problemlos auslesen.

Hinweis: Da es sich bei 40tude Dialog um ein originäres 32-Bit-Programm handelt, wird auch auf 64-Bit-Betriebssystemen die 32-Bit-Version von NirSoft BulletsPassView benötigt. Entscheidend ist hier nicht die Systemumgebung, sondern das Zielprogramm.

Top Home

Frage Lässt sich die Bildanzeige für den Header X-Face unterbinden?

Antwort

Da (optional) in den Headerzeilen von Nachrichten hinterlegte X-Face-Bilder mit den integrierten (seit 2005 nicht aktualisierten) Funktionen zur Bildanzeige gerendert werden, sehen einige Nutzer in der Anzeige dieser Bilder ein Sicherheitsrisiko. Andere Nutzer suchen lediglich eine Möglichkeit, die Anzeige von X-Face-Bildern zu unterbinden, weil sie diese als Spielerei bzw. Ablenkung empfinden.

Bleibt die Erweiterte Headeranzeige, in der X-Face-Bilder am rechten Rand angezeigt werden, minimiert, dann sind X-Face-Bilder nicht einfach unsichtbar. Sie werden in diesem Fall durch 40tude Dialog auch nicht im Hintergrund gerendert. Im Gegensatz zu einem lediglich auf Breite 0 zusammengeschobenen Vorschaufenster für Nachrichten-Anhänge gilt die X-Face-Anzeige bei Minimierung tatsächlich intern als nicht geöffnet. An dieses Objekt angebundene Funktionen werden dann nicht aufgerufen und ausgeführt. Die in der Minimalansicht der Erweiterten Headeranzeige ausgeblendeten Headerzeilen bleiben als Tooltip für den Header-Anzeigebereich, über die Rohansicht der Nachricht sowie über die mit der Taste <h> umschaltbare Header-Anzeige direkt im Nachrichtenfenster erreichbar.

Technischer Exkurs:
Jeder Artikel inklusive aller Header (auch X-Face) wird roh eingelesen und roh in die MsgXX.dat geschrieben. Einige Header werden ganz oder teilweise auch an anderer Stelle der Datenbank gepuffert. X-Face gehört nicht dazu. Beim Zugreifen auf einen Artikel für dessen Anzeige wird wieder der gesamte Rohartikel in den Speicher kopiert. Dort werden dann selektiv (beim Aktualisieren der Anzeige in den Komponenten der Benutzeroberfläche) Inhalte ausgelesen, also der Nachrichtentext, wenn die Nachrichtentext-Anzeige sichtbar geöffnet ist. Hat hingegen ein anderer Anzeigebereich (z. B. die Gruppenliste) im Zoom-Modus(!) den Focus, erfolgt kein Zugriff auf Nachrichtentexte. Gleiches gilt für den Header X-Face, welcher nur dann zur Renderung der Bildanzeige übergeben wird, wenn die Erweiterte Headeranzeige geöffnet ist. Eine Ausnahme bildet das MessageParts-Teilfenster. Dieses kann zwar auf Nullbreite zusammengeschoben werden, gilt Dialog-intern aber als grundsätzlich geöffnet. Daher wird das erste Vorschaubild immer zunächst gerendert und dann erst getestet, ob eine Anzeige überhaupt möglich ist. Bei Sicherheitsbedenken sollte man daher die Vorschau-Anzeige des ersten Bildes im Bereich MessageParts in den Optionen abschalten. (Analyse des Programmverhaltens: Bernd Rose [2014]; Message-ID: <1ks0u7kigtizq$.dlg@b.rose.tmpbox.news.arcor.de>.)

Eine eher ungewöhnliche Möglichkeit, die Anzeige von X-Face-Bildern zu unterbinden, besteht im Eintrag eines ungültigen Wertes (z. B. 9) für XFaceDrawStyle in der settings.ini von 40tude Dialog. Klickt man jedoch mit der Maus am rechten Rand der Erweiterten Headeranzeige (also in dem Bereich, in welchem X-Face-Bilder üblicherweise dargestellt werden), wird die Anzeige von X-Face-Bildern sofort wieder aktiviert. XFaceDrawStyle wird hierdurch automatisch auf einen gültigen Wert gesetzt.

Eine sichere Möglichkeit zur konsequenten Verhinderung der Anzeige von X-Face-Bildern ist es, die betreffenden Headerzeilen bereits beim Empfang per Skript aus den Nachrichten zu löschen.
Beispielhaft hier eine spezialisierte Kurzfassung des allgemeineren Skriptes „RemoveHeaders“ von Hermann Hippen:

Das Skript kann auch separat betrachtet bzw. mit der rechten Maustaste gespeichert werden: Remove_XFace

Darüber hinaus lässt sich auch die Programmdatei Dialog.exe mit einem Resource-Editor (wie dem Resource Hacker von Angus Johnson) so patchen, dass die X-Face-Anzeige grundsätzlich inaktiv ist. Hierzu muss in Dialog.exe für das Objekt XFacePanel in TFRM40TDMAIN eine zusätzliche Zeile Visible = False eingefügt werden. Dieses Vorgehen wird allerdings nicht empfohlen, da es für den angestrebten Zweck den radikalsten Eingriff erfordert.

Top Home