美國(guó)隱私保護(hù)團(tuán)體“The Privacy Foundation”于美國(guó)時(shí)間2月5日公布了“電子郵件竊聽(email wiretapping)”方面的問(wèn)題。該問(wèn)題是電子郵件發(fā)信人通過(guò)在HTML電子郵件中植入JavaScript代碼,便可以得知“該電子郵件轉(zhuǎn)發(fā)給什么人”以及“追加了哪些內(nèi)容”等。其對(duì)象為可以解釋JavaScript的所有對(duì)應(yīng)HTML的電子郵件軟件。其原因不在于電子郵件軟件的軟件錯(cuò)誤(Bug)等。如果關(guān)閉JavaScript功能,便可以避開這一問(wèn)題! ∮脕(lái)進(jìn)行“電子郵件竊聽”的JavaScript代碼是由兩個(gè)部分構(gòu)成的。(1)用于讀取HTML電子郵件的全部正文內(nèi)容的部分;(2)將該內(nèi)容發(fā)送給指定的Web服務(wù)器的部分。這些功能可以通過(guò)JavaScript的標(biāo)準(zhǔn)功能來(lái)實(shí)現(xiàn)。根據(jù)The Privacy Foundation提供的情報(bào),該代碼只需30行左右,只要是熟悉JavaScript的程序員,可以在一兩天內(nèi)編寫出來(lái)! avaScript代碼是在收件人打開了具有JavaScript功能的HTML電子郵件時(shí)自動(dòng)開始運(yùn)行的。個(gè)收到植入該代碼的發(fā)信人不會(huì)發(fā)生什么問(wèn)題。發(fā)信人也當(dāng)然知道該信件的內(nèi)容以及發(fā)送給什么人。問(wèn)題將會(huì)發(fā)生在當(dāng)把該郵件轉(zhuǎn)發(fā)給第三者的時(shí)候。轉(zhuǎn)發(fā)時(shí)所添加的電子郵件正文,將被發(fā)送到原發(fā)信人所指定的Web服務(wù)器上! 《铱蓚魉偷牟粌H僅是電子郵件的內(nèi)容。還可以用來(lái)追蹤該電子郵件是如何轉(zhuǎn)發(fā)的。只要調(diào)查Web服務(wù)器的記錄,便可以得知打開收到轉(zhuǎn)發(fā)電子郵件的用戶(或者是用戶所屬組織)的IP地址、域名以及打開該電子郵件的時(shí)間等。 解決對(duì)策是關(guān)閉電子郵件軟件中的JavaScript功能。另外,據(jù)悉如果用戶使用的是微軟的Outlook,也可以使用該公司公開的性軟件包。如果使用該軟件包便可以限制包括腳本執(zhí)行在內(nèi)的若干功能! 〔贿^(guò),即使將自己的電腦設(shè)置為禁止運(yùn)行JavaScript代碼,該代碼還是可以被植入在HTML電子郵件中。因此,如果收到轉(zhuǎn)發(fā)過(guò)來(lái)的電子郵件的用戶打開了JavaScript功能,那么該代碼將在收件人處運(yùn)行從而遭到“竊聽”。 The Private Foundation認(rèn)為在電子郵件中幾乎沒有必要使用JavaScript,因此,向電子郵件軟件的供應(yīng)商建議,(1)缺省設(shè)置改為關(guān)閉JavaScript功能,(2)增加在轉(zhuǎn)發(fā)電子郵件時(shí)自動(dòng)刪除HTML電子郵件內(nèi)的腳本的功能等。
上一篇:
查看網(wǎng)頁(yè)更新日期