Questa è una pratica abbastanza comune chiamata bug web , è la ragione principale per cui i client di posta non caricano automaticamente immagini esterne (il secondo è quello di proteggerti dalla visualizzazione di immagini indesiderate di spam che potrebbero essere sconvolgenti, ad esempio la pornografia).
Fondamentalmente quando carichi un'email con immagini esterne abilitate e un link ad un'immagine come <img src='http://192.1.1.1/images/53512_58925.png'>
è nella sorgente, il loro server web registrerà qualcosa come la seguente (esempio sotto è il log di accesso predefinito per nginx
web server ) quando il browser / client di posta recupera e scarica l'immagine:
10.1.2.3 - - [10/Oct/2012:10:33:41 -0400] "GET /images/53512_58925.png HTTP/1.1" 200 1933 "http://192.1.1.1/images/53512_58925.png" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.81 Safari/537.1"
che dà loro:
- il tuo indirizzo IP del tuo computer in cui hai visualizzato l'email (
10.1.2.3
in questo esempio),
- il timestamp dell'accesso dell'orologio del server
[10/Oct/2012:10:33:41 -0400]
,
- la (prima riga della) richiesta HTTP GET per ottenere l'immagine (
GET /images/53512_58925.png
),
- il codice di risposta HTTP (200 significa successo),
- la dimensione del file a cui si accede (1933 byte),
- l'URL completo del file (192.1.1.1 è IP del server del mittente della posta elettronica) e
- la stringa User-Agent del client (che indica il browser Web e il sistema operativo eventualmente utilizzato)
Per tracciarti veramente con precisione, dovrebbero avere un URL univoco per l'immagine; ad esempio, il file 53512_58925.png potrebbe significare che l'utente 58925 ha letto l'e-mail con l'ID 53512 o qualcosa del genere. Potrebbero anche fare qualcosa con i parametri HTTP GET qualcosa come <img src='http://192.1.1.1/images/logo.png?user_id=58925&email_id=53512'>
che verrebbe anche registrato.
Non ho intenzione di commentare la legalità di esso; le leggi variano e alcuni paesi in cui non vivo hanno recentemente adottato severe leggi sulla privacy IT (ad es., a fronte di un tracciamento cookie cookie simile senza il consenso esplicito dell'utente). Anche questo forum non è destinato a fornire consulenza legale.
Questo non ha nulla a che fare con la politica della stessa origine (usata per limitare la potenza degli script client caricati in remoto in linguaggi come javascript, quindi andare a unssafe-web-page.com non dovrebbe essere in grado di leggere / modificare il browser dati in altre schede) o XSS (dove gli hacker sfruttano i difetti iniettano contenuti in pagine web che non sono le loro).