提交于 2017-02-21 10:57:22
站在黑客角度来给出答案。
大多数专业邮箱都默认不显示图片,因为:http://evilsite/hi.php width=0 height=0 />
看,src的值可以不需要是真图片。
这样可以隐蔽地得到邮件URL(即Referer,即浏览器地址栏那个URL)。
有什么用呢?
1. 邮件打开跟踪:只要邮件被查看就会请求这个hi.php地址,hi.php可以做好记录,除了记录是否被请求了,还可记录邮件URL、用户浏览器User-Agent、用户IP地址等。这个可以做个邮件跟踪系统了:)
有了这个,根本不需要「已读回执」功能了。
有了这个,搞垃圾邮件群发的,各位脑补下,他们会有多开心。
2. 某些手机端邮箱:传统的WAP或APP(本质是Web的情况),Referer可能会包括用户身份token,这会导致身份token轻易泄露,账号被盗。
3. 有人用hi.php来玩钓鱼攻击:hi.php可以被设置需要Auth等认证,这时一查看邮箱就弹出一个Auth窗口,提醒输入用户名密码,只要场景设计好,有一定概率,用户会被钓鱼。
4. 确实,图片可以很好躲避基于文本的贝叶斯反垃圾机制。默认屏蔽图片,「意外」屏蔽了这个眼不见心不烦的烦恼
就这么小的一个点,这些年来一直出现各种对抗,出现个对抗又被修复。什么是好邮箱?好邮箱就是这么小的一个点,必须把控好安全与体验的那种平衡:)
目前Gmail采用的方式是用Google自己的服务器下载所有嵌入邮件的图片,之后在用户打开邮件时使用服务器上的那份。很安全,并且相对更User-friendly一些。
提交于 2017-02-22 14:53:52
# 因为垃圾邮件大部分都是由图片构成的
# 因为如果是靠文字描述的垃圾邮件太容易被关键字屏蔽,而图片不容易识别
# 正常人谁发邮件一大堆图片?
# QQ邮箱也不是所有图片都不显示不是?他会判断发信人的ip,域名,内容等,根据这些来分类。如果低于某个预设值,就假设他是垃圾邮件,就不显示了。
