먼저, 왜 (역사적으로) HTML 트랙킹에 의해 구현 된 전환 추적이 동일한 정보를 제공 할 수있는 작고 생성이 거의 불가능한 html 요소를 사용했는지? 다른 방법과 달리 html 이미지가 사용 된 이유가 궁금합니다. 둘째, 다수의 이메일 클라이언트 (예 : 이메일 클라이언트)가 있습니다. Outlook과 Gmail은 기본적으로 "사용자의 신원을 보호"하는 수단으로 HTML 전자 메일에 이미지를 표시하지 않습니다. 이미지가 페이지의 다른 마크 업 요소보다 더 많은 정보 노출을 제공하는 이유는 무엇입니까? 그것들은 모두 일부 서버의 웹 로그에 일부 IP 주소에서 GET으로 표시 될 수 있으므로 이미지가 추가 위험을 나타내는 이유를 모르겠습니다.전환 추적에서 픽셀을 사용하는 이유는 무엇이며 왜 이미지에서 잠재적 인 정보가 노출됩니까?
답변
대 동일한 정보를 제공 할 수있는 다른 작고 제작 가능성이 거의없는 보이지 않는 html 요소를 사용하는 것일까 요?
이름 하나! 나는 이미지를 제외하고는 하나도 생각할 수 없다. 적어도 오래된 HTML 4에서는 그렇지 않다. 오늘날까지도 여전히 풍부한 전자 메일의 표준이다. 외부 스타일 쉬트는 요즘은 가능할 것이지만 전자 메일에는로드되지 않습니다. 배경 이미지가 비활성화 될 수 있습니다. iframe
가 나중에 나왔습니다.
그들은 모두 몇 가지 가능한 쿼리 문자열 PARMS 일부 IP 주소에서 GET으로 일부 서버의 웹 로그에 표시, 그래서 이미지가 추가 위험을 나타내는 이유는 확실하지 않다.
이미지 리소스가 전자 메일에 포함되어있는 경우 이미지가로드되는 시간은 사용자가 전자 메일을 읽을 때입니다. 또한 이미지를 가져온 IP는받는 사람이 그 순간 인터넷에 로그온 한 IP입니다. 심하게 패치 된 Windows 설치로이 공격을 쉽게 수행 할 수 있습니다.
요청에 따라 방화벽/라우터, 인터넷 제공 업체, where roughly they are located 뒤에 있는지 여부에 관계없이 수신자의 운영 체제를 확인할 수도 있습니다. 이미 모두 매우 민감한 정보 .
사이트에서 이미지를로드 할 때 해당 사이트 http 서버에 요청합니다. 요청에는 꽤 광범위한 헤더 정보가 들어 있습니다.
이미지는 일반적인 사용법을 설명하는 첫 번째 HTML 사양에 있습니다. , <object>
, <script>
및 기타 모든 삽입 가능 요소는 이후 버전에서 제공되었으며 항상 브라우저에서 지원되거나 활성화되지 않았습니다.
HTML로 이미지 표시 전자 메일은 누군가가 실제로 스팸 메일을 읽는 스패머에 대한 확인으로 "보안 위험"으로 간주 될 수 있습니다.
- 1. WPF 이미지에서 채울 픽셀을 변경하십시오.
- 2. WIC 이미지에서 픽셀을 읽는 방법
- 3. Ruby에서이 내용은 무엇이며 왜 존재합니까?
- 4. XML 처리 명령이란 무엇이며 왜 그 정보가 거의없는가?
- 5. WSFederationAuthenticationModule.IsSignInResponse의 잠재적 인 Request.Form
- 6. 잠재적 인 누수에 관해서는
- 7. .Net의 잠재적 인 문제는 무엇입니까
- 8. 잠재적 인 일치를 찾는 알고리즘
- 9. NHibernate와 잠재적 인 캐싱 문제
- 10. 왜 CSS 전환 - 모듈이 이미지에서 이미지로의 전환을 지원하지 않습니까?
- 11. 시작 이미지에서 기본보기로 부드럽게 전환
- 12. Django에서 사용하는 RDBMS는 무엇이며 그 이유는 무엇입니까?
- 13. Repo 란 무엇이며 Google에서 사용하는 이유는 무엇입니까?
- 14. 콜 체인의 잠재적 인 문제
- 15. 잠재적 인 장고 버그가있는 QuerySet.query?
- 16. 잠재적 인 g ++ 템플릿 버그?
- 17. 마샬링 - 왜 그게 무엇이며 왜 필요합니까?
- 18. WebIDL은 무엇이며 왜 중요합니까?
- 19. 자바 스크립트/jQuery를 XSS 잠재적 인 독서는
- 20. 10000000000000.126.toString()이 (가) 1000000000000.127 인 이유는 무엇이며 (방지하려면 어떻게해야합니까?)
- 21. 왜 Ajax가 정적 인 이유는 무엇입니까?
- 22. Doxygen "잠재적 인 재귀 클래스 관계"보고
- 23. 확장 방법이란 무엇이며 왜 사용해야합니까?
- 24. Cocoa의 델리게이트는 무엇이며 왜 사용해야합니까?
- 25. 버그 추적 시스템에서도 '잠재적 인 버그'를 추적합니까?
- 26. Android 콜백 - 잠재적 인 메모리 누수가 있습니까?
- 27. ABRecordCopyValue에 대한 잠재적 인 메모리 누수
- 28. 잠재적 인 PHP 메모리 돼지 또는 아닙니다?
- 29. 잠재적 인 nulls 건너 뛰기 C#
- 30. 모델의 다형성 추상화와 레일의 잠재적 인 MI?
아아, 그래서 여기의 마술은 이메일의 다른 HTML 콘텐츠가 정적이라는 것입니다. 이메일 자체에 포함되어 있습니다 (물론 이미지도 될 수 있지만 메일 클라이언트가 보호하는 것은 아닙니다).). 노출은 당신이 말했듯이, 이미지는 * 이메일이 열리면 (페이지가 렌더링 됨) 이미지가 검색되므로 * 귀하의 현재 상태에 대한 정보를 포함하고 있기 때문에 발생합니다. 나는 그것을 정확하게 말하고 있는가? – Emilio
좀 더 명확히하기 위해 스패머는 각 대상 전자 메일 주소에 대해 새 이미지 이름을 자동 생성하거나 img 태그에 포함 된 쿼리 문자열에 추적 정보를 포함시킬 수 있습니다. 이렇게하면 스팸 발송자가 이메일을 열어 본 이메일 주소를 정확히 볼 수 있습니다. – chrissr
@Emilio. 그리고 @chrissr 방법을 사용하여 정보를 "개인 설정"하여 언제 어떤 전자 메일 주소에서 메시지를 읽었는지 정확히 알 수 있습니다. 이 방법을 "웹 버그"라고합니다." –