Pertanyaan Bagaimana Thunderbird melindungi privasi saya?


Untuk email yang memiliki gambar, Thunderbird tidak menampilkan gambar, mengatakan bahwa itu melindungi privasi saya.

Bagaimana cara melindungi privasi saya dengan tidak menampilkan gambar? Gambar adalah hal-hal yang saya terima, bukan pengiriman.


4
2018-01-08 01:49


asal




Jawaban:


Sebagian besar klien e-mail hari ini memungkinkan pesan e-mail ditulis dalam HTML dengan sumber daya jarak jauh dan mungkin bahkan Javascript. Ini adalah sebuah besar sekali masalah privasi karena memungkinkan pengirim e-mail untuk menanamkan gambar (tidak perlu menjadi gambar, tetapi itu adalah taktik yang paling umum, saya kira) yang di-host di server di bawah kendali mereka (misalnya ) http://www.example.net/tracker.jpg.

Ketika ada yang memuat tracker.jpg dari server tersebut, pengirim e-mail dapat melihat bahwa gambar telah dimuat, alamat IP apa yang memintanya, dan tanggal dan waktu yang tepat yang diminta (juga jika telah diminta lebih dari satu kali.) Dengan informasi ini pengirim dapat pelajari lokasi fisik umum dan tanggal pasti untuk setiap kali pesan dibaca.

Pengirim dapat mengidentifikasi lebih lanjut siapa yang memuat gambar dengan menambahkan parameter URL ke alamat gambar yang disematkan (mis. http://www.example.net/tracker.jpg?targetID=Bob%20Johnson&msgID=123456&sendDate=07012012.) Sejumlah parameter yang acak dapat dilewatkan dan semuanya akan berakhir di log server bersama dengan semua informasi lainnya.

Gambar yang ditentukan bahkan tidak perlu menjadi gambar yang valid. Ini bisa berupa file yang dibuat khusus yang mengeksploitasi render gambar di klien e-mail tertentu, atau bahkan program yang mengirimkan gambar eksploit berbeda berdasarkan jenis klien e-mail yang memintanya.

"Tapi," Saya mendengar Anda berkata, "browser web saya sudah melakukan semua hal itu dan tidak ada yang mengatakan bahwa itu berbahaya!" Dan Anda benar, tidak ada yang mengatakan itu berbahaya meskipun setiap bahaya di atas sama berlaku untuk peramban web seperti untuk klien e-mail.

Perbedaan besar adalah bahwa e-mail ditargetkan pada (biasanya) orang atau organisasi tertentu: jika Anda mengirim e-mail yang diretas ke setiap akun di cia.gov, Anda mungkin saja bisa masuk ke jaringan CIA (orang berharap CIA meninggalkan konten jarak jauh diblokir.) Serangan yang ditargetkan semacam ini mirip dengan tombak phishing dan telah berhasil digunakan untuk menerobos ke perusahaan yang paling mengerti teknologi (yaitu Google.) Perhatikan bahwa serangan semacam ini tidak terbatas hanya pada phishing tombak saja.

Jadi, pada dasarnya, apa yang intinya adalah bahwa Thunderbird memainkannya dengan aman. Itu tidak akan secara otomatis memuat konten jarak jauh tetapi memberi Anda tombol besar yang bagus untuk menekan jika Anda memercayai pengirim.


8
2018-01-08 03:25



Bahkan tanpa segala bentuk intrusi yang mungkin, saya melihat kembali HTML yang terkait di SPAM seperti memberitahu mereka "Ini Bekerja" orang bodoh (saya menjadi salah satu dari mereka) membuka e-mail, karena sebagai server kami menunjukkan komputer mereka mengunduh gambar kami masukkan ke dalamnya. Got-cha. - Psycogeek
Tapi gambar itu harus di-host di komputer pengirim, benar? Itu bukan sesuatu yang bisa dilakukan siapa pun hanya dengan duduk di laptop mereka, apakah saya benar? - tony_sid
@limitless Gambar harus di-host di komputer yang dikontrol oleh pengirim. Ini bisa menjadi komputer pribadi mereka yang sebenarnya tetapi biasanya tidak. Paling sering gambar di-host di server web di suatu tempat. Akun hosting dasar dengan shared web host adalah semua yang benar-benar diperlukan, dan mereka dapat memiliki tanah murah atau gratis. Mereka mungkin juga menggunakan server web pihak ketiga yang tidak bersalah, jika mereka berhasil membobolnya. Bahkan ada layanan komersial yang mengklaim dapat melacak e-mail persis seperti yang dijelaskan, menggunakan server web mereka sendiri sebagai sumber gambar. - Andrew Lambert
Jika gambar di-host di server web di suatu tempat, tanpa meretas server, bagaimana mereka bisa mendapatkan informasi ini? - tony_sid
Dengan memiliki atau menyewa server. Seperti saya katakan, harganya murah. - Andrew Lambert


Misalnya, menampilkan gambar di dalam email memungkinkan penyerang potensial untuk mengetahui IP Anda.

Itu sudah cukup untuk memasukkan gambar http://attacker.com/picture.png?limitless dalam email yang dikirim ke alamat Anda. Setelah klien Anda menampilkannya, alamat email Anda telah berhasil ditautkan ke IP Anda.


1
2018-01-08 01:54



Dengan kata lain: Itu tempat seseorang menerima foto-foto itu dari itu adalah tangkapannya. - JdeBP