為什麼郵件中下載圖片就會危害你的隱私？

01-13

真相在此：
軟體：ms office 2016, outlook。
我用其他軟體收郵件從來沒有這樣的提示，基於web的gmail更加如此。不知道為什麼微軟會認為打開郵件中的圖片會損害我的隱私保護機制？是因為windows比較脆弱嗎？但我用的是office for mac呀

很贊的答案。 @餘弦

黑客視角：郵件為什麼默認不顯示圖片 - 懶人在思考 - 知乎專欄

首先引用的圖片可能不一定真是圖片，當然也可能是某個帶ID的URI，你下載圖片就意味著向這個URI發送了一次請求，服務商當然可以返回給你一個圖片，不過這樣一交互很多東西就泄漏了。

比如：

證實了你這個郵件地址是存在的。黑客發送垃圾郵件的時候，郵件地址很可能只是從一個庫里拖下來的，很多地址都是死地址，在發給你的郵件中綁定的圖片極有可能是與你的郵件地址綁定了。你一旦下載了圖片，就相當於告訴了黑客你的地址是存在的。這也間接證明了黑客手裡的某些資料是正確的。利用這些資料，加點社工，很容易把你整個人所有的信息拖出來。
在發送請求到這個URI的時候，有非常多的可操作空間，比如獲取你的當前的網址，當前的操作IP地址，操作系統，瀏覽器版本甚至你的一些操作習慣。這些東西對於社工來說是非常重要的。記住，這些操作是僅僅對你一個人的。比如如果讓黑客知道了你的IP地址，而且你用的又是XP系統，那麼黑客只要翻一下他的筆記，找一個沒修復的漏洞出來，基本你的電腦就變成他的了。
如果你的利用價值比較大的話，你的信息會被賣掉，然後買到你信息的人會接著利用上面知道的信息，專門針對你釣魚，獲利。
如果只是個普通的小白，沒什麼利用價值，可能只是會把你的電腦變成他的肉雞而已，然後再把你賣給別人來背鍋。DDOS怎麼能少了你們呢。

以前gmail也是這樣，主要是下載圖片有可能使得對方知道你已經閱讀了郵件，即使你禁止反饋郵件閱讀狀態也會被人知道。不過Gmail最近已經解決了這個問題，具體方法不清楚。

很奇特的事是，WIN 10自帶的MAIL APP卻能夠自動打開下載的IMG。

如何解釋?

為了防止xss和csrf攻擊吧

對方知道了你下載了圖片。

所有：

1 知道了該郵箱有效

2 知道了你會看郵件

3 知道你的IP

有人說郵件都已經發過來了。實際上發件人不能肯定郵件是否送達。我維護的伺服器，凡是黑名單上的都返回OK，然後默默丟掉。

你覺得哪種顯示ip和ua信息的簽名圖獲取你的信息了么？

之前部分軟體還有gdi漏洞。

如果郵件伺服器沒有緩存郵件內的圖片，對方可能知道你是否讀信，你的ip。

還是匿名用戶厲害。。。。

ps: gmail有段時間做過圖片緩存的事情。

還在做 (xxx 為 hash)

"""

https://ci4.googleusercontent.com/proxy/xxx-xxx_aw=s0-d-e1-ft#http://thecloud.appirio.com/rs/921-UOU-112/images/Photo-2-text.png

""""