In che modo impedire il download automatico di immagini aiuta a proteggere la mia privacy?

25

Durante la visualizzazione di alcune e-mail in Microsoft Outlook, se il mittente ha incluso immagini, viene visualizzata la seguente opzione nella parte superiore dell'e-mail:

"To help protect your privacy, Outlook prevented automatic download of some pictures in this message"

Non sono sicuro di come la prevenzione del download di immagini in un'email possa proteggere la mia privacy. Questo è principalmente il modo in cui le persone che potrebbero guardare oltre la mia spalla non possono vedere il contenuto visivo della mia email? O c'è una ragione più tecnica? ad esempio, per impedire l'uso di qualche tipo di exploit nel formato immagine stesso (qualcosa come Qual è la vulnerabilità dell'immagine danneggiata? Come funziona? )?

Se è quest'ultimo, perché la notifica menzionerebbe specificamente privacy , al contrario della sicurezza? Immagino che questa ultima domanda potrebbe venire fino a "perché il ragazzo / ragazza che ha scritto l'avviso ha scritto 'privacy'", o anche "perché" la privacy "è uno di quei termini a cui il pubblico può riferirsi", ma io essere interessato a sapere se c'è dell'altro.

    
posta oliver-clare 08.03.2012 - 14:40
fonte

5 risposte

36

Per prima cosa è importante capire che tipo di immagini il client non mostra. Nel tuo caso, come afferma il messaggio, queste sono immagini che sarebbero state "download" ed. Ciò significa che queste sono non immagini che sono incorporate nella email (multipart, ecc.) , ma di riferimento (HTML img , ecc.) .

Ora immagina il tipo di informazioni che il mittente potrebbe ottenere se il tuo client scarica un'immagine specificata dal mittente da un server specificato dal mittente.

Certo che otterrebbe: L'ora esatta e, molto importante, la conferma che hai visualizzato il messaggio . Potrebbe facilmente rintracciarti.

Chi potrebbe desiderare tali informazioni e per quale motivo? Spambots potrebbe verificare che l'indirizzo sia valido e attivo in uso . ...

Come funziona praticamente? Supponiamo che tu stia visualizzando un HTML -Mail e che contenga qualcosa come questo <img src="http://sendercontrolledserver/didviewmail.jpg?address=youremail@yourprovider"width="1" height="1" /> . Il tuo cliente non sa cosa succede sul server se richiede quell'immagine, il reso fornito dal server non ha bisogno di essere un'immagine, come potrebbe sapere il client prima di caricarlo. Non potevi vederlo anche con quella dimensione.

Queste sono le tue informazioni personali private e la loro esposizione sarebbe una minaccia per la privacy.

    
risposta data 08.03.2012 - 15:36
fonte
13

Uno dei motivi è il caricamento automatico delle immagini per tenere traccia degli utenti che aprono la posta (allo stesso modo di una ricevuta di lettura).

Diciamo che una società di marketing invia una mail a un migliaio di utenti e per ogni utente posizionano un link a un'immagine diversa nella posta (in modo che l'utente ottenga image0001.jpg, l'utente due ottenga image0002.jpg e così via), e ospita le immagini sul loro server web.

Questa tecnica è stata utilizzata dalle società di marketing via e-mail, arrivando persino a includere immagini 1x1 pixel in e-mail che altrimenti non le includono,

Quando queste immagini vengono caricate dal loro server web, sanno che l'utente ha aperto la posta e visualizzato l'immagine (poiché l'immagine è unica per l'utente), consentendo essenzialmente a loro di monitorare le azioni degli utenti, che potrebbero essere considerate una violazione della privacy.

quindi alcuni client di posta elettronica adottano l'approccio di default per non caricare le immagini nell'e-mail per proteggere la privacy degli utenti.

    
risposta data 08.03.2012 - 15:33
fonte
8

Quando qualcuno ti invia una e-mail, sa molto poco di te personalmente, specialmente se usi un servizio di posta elettronica pubblico.

Il mittente può includere collegamenti e / o immagini che fanno riferimento ad altri server su Internet. Se il tuo client ha scaricato automaticamente una di queste immagini, significa che fai clic su un link automaticamente senza leggerlo. In particolare, il tipo di informazioni che possono accertare da questo è il client che si sta utilizzando per leggere l'e-mail (poiché tale client utilizzerà il proprio servizio che probabilmente informerà il server tramite il suo download dall'intestazione User-Agent). Per non parlare del tuo indirizzo IP di casa.

Ora, se il mittente possiede il server a cui le immagini si riferiscono, molto probabilmente hanno il tuo cliente, che potrebbe essere una versione precedente che possono sfruttare (sicurezza), e sicuramente hanno il tuo indirizzo IP (privacy), che possono usare per attaccarti personalmente.

Come tale troverai che il forum CMS di qualità (come il mio cough :)) utilizza un proxy di immagine per proteggere l'identità dei membri dello staff scaricando le immagini caricate dall'utente attraverso il server del sito.

    
risposta data 08.03.2012 - 15:35
fonte
4

Un'immagine a cui viene fatto riferimento in una e-mail HTML utilizzando un tag <img> risiede su un server host remoto e non è inclusa nell'e-mail come "allegato incorporato". Il server remoto che ospita l'immagine può tracciare l'indirizzo IP che scarica le immagini e con l'avvento di URL reindirizzati internamente (come quelli usati da StackExchange per fornire "permalink" al contenuto dinamico), il server può abbinare la richiesta di un immagine all'indirizzo e-mail a cui è stato inviato il messaggio, controllando alcune parti univoche dell'URL della richiesta (che potrebbero non avere alcuna somiglianza o avere una relazione matematica con il tuo indirizzo e-mail o altre informazioni identificative leggibili dall'utente).

Quindi, scaricando le immagini, non solo hai detto al server remoto che hai ricevuto l'e-mail (e quindi l'indirizzo e-mail è valido), ma che lo hai aperto (e quindi sei stato almeno intrigato da l'oggetto e / o il mittente).

Come usato dalle grandi aziende con cui hai una relazione online, questo può essere più o meno innocuo; probabilmente hanno già il tuo indirizzo e-mail perché glielo hai dato, e le informazioni basate sul download delle immagini sono solo lanci di marketing, che indicano quale delle loro e-mail hai e non hanno trovato abbastanza interessante da aprire. Per lo spam, il download di una singola immagine può "mettere in verde" il tuo indirizzo e-mail, che verrebbe poi commercializzato da altri spammer. La richiesta per l'immagine può anche comportare l'installazione di un cookie di tracciamento (o l'esame dei cookie già presenti nel tuo sistema), che può compromettere la tua privacy. Infine, sì, ci sono noti exploit di vari formati di immagini che possono consentire a un utente malintenzionato di installare malware sul tuo computer.

    
risposta data 08.03.2012 - 20:38
fonte
1

Non dimenticare che virus e altri malware possono essere incorporati in un file immagine.

    
risposta data 08.03.2012 - 18:09
fonte

Leggi altre domande sui tag