邮箱中显示图片的显示安全风险: 自己的信箱地址不可以信任


今天收到一封垃圾邮件:但是在GMail中居然直接就显示了邮件中的图片。我手工标记垃圾邮件后很奇怪:为什么GMail对一封垃圾邮件未经就允许显示图片了呢?

后来看了邮件的信息发现: 这个垃圾制造者的发信人写的地址是我的邮箱地址。利用了GMail等很多邮箱的可信任邮件地址的机制,每个人的可信任发件人列表都不一样,但邮箱主人自己很有可能给自己发过邮件(比如用于备份照片之类的)。所以声称发信人是你自己的时候:就有很大概率是可以显示图片,于是图片请求就被发出了,同时发送给spammer服务的还有你的浏览器信息,来源地址(mail.google.com)等;

最近看到了一些关于Google Account的潜在XSS风险的报道,其实任何一家的服务,安全风险都是存在的,关键的问题是当你对一个服务或者帐号产生很大依赖的时候,进行一次丢失密码的演习还是非常有必要的。Google account可以通过邮箱安全问题和备用邮箱找回忘记的密码,但是被盗的确就比较麻烦了。

防止丢失钱包的一个办法就是模拟一下自己丢了钱包后能否立刻找到相应的备份而自己的生活不会受到太大的影响,这就是备份的作用吧……

作者:车东 发表于:2008-02-03 19:02 最后更新于:2008-02-03 20:02
版权声明:可以转载,转载时请务必以超链接形式标明文章 的原始出处和作者信息及本版权声明

Comments

防止丢失钱包的一个办法就是模拟一下自己丢了钱包后能否立刻找到相应的备份而自己的生活不会受到太大的影响,这就是备份的作用吧……


这个代价太大了,丢个邮箱怎么能与之相提并论?

而且这样演习一下也要花相当大的精力

恐怕没那么简单,发信地址验证是一个邮件服务器的垃圾邮件过滤最基本的功能,现在基本不存在匿名转发服务器了,可以看作点对点,如果发件人是本邮件服务器后缀的,应该会验证其SMTP端口的IP,以及一系列相关策略验证其合法性,IP对不上根本进不来,发SPAM的应该是研究出Gmail的G点了罢...

今天收到了一封自己的雅虎邮箱发来的邮件,看到其实是由一个163邮箱代发的。不知道是不是账号被盗了

@ShiningRay 丢邮箱的代价更大吧。。。

发表一个评论

(如果你此前从未在此 Blog 上发表过评论,则你的评论必须在 Blog 主人验证后才能显示,请你耐心等候。)