it-swarm-ja.com

Thunderbirdは私のプライバシーをどのように保護していますか?

写真付きのメールの場合、Thunderbirdは写真を表示せず、プライバシーを保護していると言っています。

写真を表示しないことでプライバシーをどのように保護していますか?写真は私が受け取っているものであり、送っているものではありません。

4
tony_sid

最近のほとんどの電子メールクライアントでは、電子メールメッセージをリモートリソースや場合によってはJavascriptを使用してHTMLで書き込むことができます。これは巨大なプライバシーの問題です。これは、電子メールの送信者が画像を埋め込むことができるためです(必ずしも画像である必要はありません。しかし、これが最も一般的な戦術だと思います)。これは、(たとえば)http://www.example.net/tracker.jpgの制御下にあるサーバーでホストされます。

誰かがそのサーバーからtracker.jpgをロードすると、電子メールの送信者は、イメージがロードされたこと、イメージが要求されたIPアドレス、および要求された正確な日時(複数回要求された場合も)を確認できます。 。)この情報を使用して、送信者はメッセージが読み取られるたびに、一般的な物理的な場所と正確な日付を知ることができます。

送信者は、埋め込まれた画像アドレスにURLパラメータを追加することで、誰が画像を読み込んだかをさらに特定できます(例:http://www.example.net/tracker.jpg?targetID=Bob%20Johnson&msgID=123456&sendDate=07012012)。任意の数のパラメータを渡すことができ、それらはすべて他のすべてと一緒にサーバーのログに記録されます。情報。

指定された画像も有効な画像である必要はありません。これは、特定の電子メールクライアントの画像レンダリングのバグを悪用する特別に細工されたファイルである場合もあれば、どの種類の電子メールクライアントが要求しているかに基づいて異なる悪用画像を送信するプログラムである場合もあります。

「しかし、私のウェブブラウザはすでにこれらすべてのことを行っており、誰もそれが危険だとは言っていません!」とあなたが言っているのを聞きます。そして、あなたの言う通り、上記の危険のすべてが電子メールクライアントの場合と同じようにWebブラウザにも当てはまるとしても、危険だと言う人は誰もいません。

大きな違いは、電子メールが(通常)特定の個人または組織を対象としていることです。cia.govのすべてのアカウントにブービートラップされた電子メールを送信すると、侵入できる可能性があります。 CIAのネットワーク(CIAがリモートコンテンツをブロックしたままにしておくことを望んでいます。)この種の標的型攻撃は スピアフィッシング に似ており、最も技術に精通した企業(つまり、Google)にさえ侵入するためにうまく使用されています。 )この種の攻撃は、スピアフィッシングだけに限定されないことに注意してください。

つまり、基本的には、Thunderbirdが安全にプレイしているということです。リモートコンテンツは自動的に読み込まれませんが、送信者を信頼する場合に押すのに最適な大きなボタンが表示されます。

8
Andrew Lambert

たとえば、電子メール内に写真を表示すると、潜在的な攻撃者があなたのIPを知ることができます。

画像を含めるだけで十分ですhttp://attacker.com/picture.png?limitlessあなたのアドレスに送信された電子メールで。クライアントがそれを表示すると、あなたのメールアドレスはあなたのIPに正常にリンクされています。

1
Dennis