近日,一个网络隐私监察小组意外地发现,有一种新的小技术可以让不怀好意的人利用Email中的安全漏洞轻易窃取别人的隐私信息。它并不需要利用Email客户端软件中的安全漏洞,而是由HTML格式的Email本身存在的一个安全漏洞引起的。
这种窃取别人隐私信息的技术只需要编写几行简单的JavaScript代码就可以了,这几行代码,一般情况下收信人不会发现,但是当收件人把邮件转寄给别人的时候,它会同样把信件的内容返回给最初的寄信者。
由于HTML格式的Email具有普通Web网页的优点,所以它日益流行。为了区别一封Email是否是HTML格式,只需要在阅读邮件时点击鼠标右键,如果能发现快捷菜单中有“查看源代码”等类似选项,则说明这是一封HTML格式的Email。用户也可以通过查看源代码轻易发现邮件中嵌入的JavaScript代码,但是不论这段代码是否要窃取个人隐私信息,对一个不熟悉计算机编程的普通用户来说,是根本无法识别这段代码的。
隐私问题核心小组会议(The Congressional Privacy Caucus)已经决定在本月晚些时候举行对Web漏洞研究的听证会。JavaScript已经制造了一个很大的Web漏洞,不但能够暴露收件人什么时候阅读信件,而且还会暴露信件的内容。因为许多Email用户在Email交流过程中更加喜欢使用“回复”或者“转发”功能,而不是直接撰写新的信件,如果某个人给别人发了一封Email,而收件人则在这封信基础之上和另外的用户进一步相互交流,这个时候,JavaScript就能够让最初的发件人偷窥Email通信的整个过程。如果收件人将其中的一封Email广为转发,那么最初的发件人还可以通过这种方式获得大量的Email地址。
包括Microsoft Outlook、 Outlook Express和Netscape Messenger在内的一些软件,在这种安全攻击面前都显得相当脆弱。避免侵害的最好方法是关闭Email客户端软件中的JavaScript功能。如果使用Netscape Messenger,用户可以首先选择“preferences”,然后通过5个步骤就可以关闭JavaScript了,而在Microsoft Outlook和 Outlook Express,关闭JavaScript的过程则比较复杂,需要15个步骤才能关闭HTML邮件中的JavaScript。在隐私基金会的官方网站(http://www.privacyfoundation.org)中刊登了在这些Email客户端软件中关闭JavaScript的具体方法。
据称,据微软公司的发言人宣称,下一个版本的Outlook Express将会关闭JavaScript。(华夏)
|