QQ郵箱為什麼默認不顯示未知郵件的圖片?顯示圖片對郵箱安全有什麼隱患?
01-02
謝邀,站在黑客角度來給出答案。
大多數專業郵箱都默認不顯示圖片,因為:&
看,src的值可以不需要是真圖片。
這樣可以隱蔽地得到郵件URL(即Referer,即瀏覽器地址欄那個URL)。
有什麼用呢?
1. 郵件打開跟蹤:只要郵件被查看就會請求這個hi.php地址,hi.php可以做好記錄,除了記錄是否被請求了,還可記錄郵件URL、用戶瀏覽器User-Agent、用戶IP地址等。這個可以做個郵件跟蹤系統了:)
有了這個,根本不需要「已讀回執」功能了。
有了這個,搞垃圾郵件群發的,各位腦補下,他們會有多開心。
2. 某些手機端郵箱:傳統的WAP或APP(本質是Web的情況),Referer可能會包括用戶身份token,這會導致身份token輕易泄露,賬號被盜。
3. 有人用hi.php來玩釣魚攻擊:hi.php可以被設置需要Auth等認證,這時一查看郵箱就彈出一個Auth窗口,提醒輸入用戶名密碼,只要場景設計好,有一定概率,用戶會被釣魚。
4. 確實,圖片可以很好躲避基於文本的貝葉斯反垃圾機制。默認屏蔽圖片,「意外」屏蔽了這個眼不見心不煩的煩惱?
就這麼小的一個點,這些年來一直出現各種對抗,出現個對抗又被修復。什麼是好郵箱?好郵箱就是這麼小的一個點,必須把控好安全與體驗的那種平衡:)
EOF.上面 @餘弦 說的很專業了。我補充一句:目前Gmail採用的方式是用Google自己的伺服器下載所有嵌入郵件的圖片,之後在用戶打開郵件時使用伺服器上的那份。很安全,並且相對更User-friendly一些。
不顯示圖片是因為發信源信譽太低,你有超屌的信譽的ip,隨便偽造隨便發圖,就算gmail也躲不過,不用謝。
# 因為垃圾郵件大部分都是由圖片構成的# 因為如果是靠文字描述的垃圾郵件太容易被關鍵字屏蔽,而圖片不容易識別# 正常人誰發郵件一大堆圖片?# QQ郵箱也不是所有圖片都不顯示不是?他會判斷發信人的ip,域名,內容等,根據這些來分類。如果低於某個預設值,就假設他是垃圾郵件,就不顯示了。
推薦閱讀:
※怎樣設計密碼既可以在各大網站通用卻各不相同,又不易忘記?
※黑客黑產里的五件套都是什麼?
※為何中國的網站普遍不願意相信用戶能把密碼管理好?
※網易郵箱的 HTTPS 認證是形同虛設的嗎?為什麼每次用 Chrome 登錄都沒有顯示是安全鏈接?
※公司IT把所有的電腦端雲應用和即時通訊工具都禁用了,請問有什麼辦法實現文件的同步?