Ah, ma l'utente è "facendo clic su un link nell'email". È solo un "clic automatico". Il pericolo nel "fare clic su un collegamento nell'email" non deriva dall'azione fisica di premere il pulsante, ma dal download di dati da un collegamento trovato nell'email. Se questo download avviene automaticamente, il rischio non viene ridotto; al contrario, in effetti. La maggior parte del software di posta elettronica offre, almeno come opzione, la possibilità non di scaricare automaticamente le immagini; questo è un miglioramento perché, almeno, offre un modo per l'utente di impedire che il download si verifichi (ovvero, non facendo clic).
In questo senso, la tua proposta è equivalente a un sistema di click-in-mail e condivide gli stessi problemi di sicurezza. Nel migliore dei casi, migliora l'esperienza dell'utente, in quanto rimuove il clic fisico nei casi in cui l'utente è trascurato (ovvero il suo software segue automaticamente i collegamenti dell'immagine). In una certa misura, ciò che suggerisci si riduce a: "Sì, l'utente è vulnerabile, ma almeno possiamo sfruttare la sua vulnerabilità per rendergli la vita più facile, non può essere protetto, ma riempiamo il suo mondo di beata ignoranza invece di terrore".
Ora, se si prende il punto di vista del server, il sistema garantisce effettivamente che chiunque abbia ricevuto il cookie nel proprio browser Web sia anche in grado di leggere le e-mail inviate all'indirizzo specificato, dal momento che il browser ha seguito il collegamento dell'immagine dall'e-mail . Dovresti comunque assicurarti che il link nell'email contenga un componente casuale non immaginabile; in caso contrario, un utente malintenzionato potrebbe semplicemente ottenere l'immagine digitando il collegamento nel suo browser, quindi simulando la ricezione dell'e-mail. Come al solito, anche i migliori sistemi di sicurezza contengono spazio sufficiente per renderli totalmente inaccessibili, se implementati senza la dovuta attenzione.