web-dev-qa-db-ja.com

画像の自動ダウンロードを禁止すると、プライバシーをどのように保護できますか?

Microsoft Outlookで一部のメールを表示しているときに、送信者が画像を含めている場合、メールの上部に次のオプションが表示されます。

To help protect your privacy, Outlook prevented automatic download of some pictures in this message

「プライバシーを保護するために、Outlookはこのメッセージの一部の画像の自動ダウンロードを禁止しました」

メール内の画像のダウンロードを防ぐことでプライバシーがどのように保護されるかわかりません。これは主に、私の肩越しに見ている人が私のメールの視覚的な内容を見ることができないようにするためですか?または、より技術的な理由があります。たとえば、イメージ形式自体で何らかのエクスプロイトが使用されるのを防ぐには( 破損したイメージの脆弱性とは何ですか?どのように機能するのですか? )?

後者の場合、通知ではセキュリティとは対照的にprivacyが具体的に言及されているのはなぜですか?この最後の質問は、「通知を書いた男/女が「プライバシー」を書いたため」、または「「プライバシー」は一般大衆が関係することができる用語の1つだから」に帰着する可能性があると思いますが、私はそれ以上のものがあるかどうか知りたいです。

26
oliver-clare

最初に、クライアントが表示しない画像の種類を理解することが重要です。あなたの場合、メッセージが述べるように、これらは"download" edであったであろう画像です。つまり、これらはメールに埋め込まれた画像ではありません(multipart、etc。)しかし参照されています(HTML imgなど)

次に、クライアントが送信者が指定したサーバーから送信者が指定した画像をダウンロードした場合に、送信者がどのような情報を取得できるかを想像してください。

もちろん、次のようになります:正確な時刻、そして非常に重要なのは、メッセージを表示したことの確認まったく。彼はあなたを簡単に追跡できます。

そのような情報が必要なのは誰ですか?スパムボットはアドレスが有効で使用中であることを確認できます。 ...

実際にどのように機能しますか?[〜#〜] html [〜#〜]-Mailを表示していて、このようなものが含まれているとします<img src="http://sendercontrolledserver/didviewmail.jpg?address=youremail@yourprovider" width="1" height="1" />。クライアントは、そのイメージを要求した場合にサーバーで何が発生するかを知りません。サーバーが配信するリソースは、イメージである必要はなく、クライアントがロードする前にどのように知ることができますか。そのサイズでも見れなかった。

これらはお客様の個人情報であり、それらの漏洩はプライバシーの脅威となります。

36
ordag

これの1つの理由は、自動画像読み込みを使用して、ユーザーがメールを開封したことを(開封確認と同じように)追跡できることです。

あるマーケティング会社が1000人のユーザーにメールを送信し、各ユーザーがメール内の別の画像へのリンクを配置すると(ユーザー1がimage0001.jpgを取得し、ユーザー2がimage0002.jpgを取得するなど)、ウェブサーバー上の画像。

この手法は、1x1ピクセルの画像をメールに含めない限り、メールマーケティング会社で使用されています。

これらの画像がウェブサーバーから読み込まれると、ユーザーがメールを開いて画像を表示したことがわかり(画像はユーザーに固有であるため)、基本的にはユーザーのアクションを追跡でき、プライバシーの侵害と見なされる可能性があります。

そのため、一部の電子メールクライアントは、ユーザーのプライバシーを保護するために、電子メールに画像を読み込まないようにデフォルトのアプローチをとっています。

13
Rory McCune

誰かがあなたに電子メールを送信すると、特に公共の電子メールサービスを使用している場合、彼らはあなたについて個人的にほとんど知りません。

送信者は、インターネット上の他のサーバーを参照するリンクや画像を含めることができます。クライアントがこれらの画像の1つを自動的にダウンロードした場合、それはリンクを読まずに自動的にクリックしたことと同義です。特に、これから確認できる情報の種類は、電子メールの読み取りに使用しているクライアントです(そのクライアントは独自のサービスを利用するため、User-Agentヘッダーを介してサーバーにダウンロードを通知します)。ホームIPアドレスは言うまでもありません。

画像が参照しているサーバーを送信者が所有している場合、クライアントはクライアントである可能性が高く、古いバージョンである可能性があります(セキュリティ)。IPアドレス(プライバシー)があり、攻撃者はあなたを攻撃することができます。個人的に。

そのため、質の高いフォーラムCMS(自分のcough :)など)は、画像プロキシを使用して、サイトサーバー経由でユーザーがアップロードした画像をダウンロードすることにより、スタッフメンバーのIDを保護します。

8
deed02392

<img>タグを使用してHTML電子メールで参照される画像は、リモートホストサーバーに存在し、「埋め込み添付ファイル」として電子メールに含まれていません。画像をホストするリモートサーバーは、画像をダウンロードするIPアドレスを追跡できます。また、内部的にリダイレクトされるURL(StackExchangeが動的コンテンツへの「パーマリンク」を提供するために使用するURLなど)の出現により、サーバーは、リクエストURLの一意の部分をチェックすることにより、メッセージの送信先の電子メールアドレスに画像を送信します(類似性がない場合や、電子メールアドレスや他の人間が読み取り可能な識別情報と数学的な関係がない場合があります)。

したがって、画像をダウンロードすることで、リモートサーバーに電子メールを受信したこと(したがって電子メールアドレスが有効であること)を知らせるだけでなく、それを開いたこと(したがって、少なくとも件名と/または送信者)。

あなたがオンラインで関係を持っている主要な企業によって使用されるように、これは多かれ少なかれ無害でありえます;あなたが電子メールアドレスを与えたので、おそらく彼らはすでにあなたの電子メールアドレスを持っています。画像のダウンロードに基づく情報は、マーケティングメールであり、あなたが持っている電子メールのうち、どの電子メールを開くのが面白くないかを伝えています。スパムの場合、1つの画像をダウンロードすると、電子メールアドレスが「グリーンリスト」に登録され、他のスパマーに販売される可能性があります。画像の要求により、追跡Cookieがインストールされ(またはシステムに既に存在するCookieが検査され)、プライバシーが侵害される可能性があります。最後に、はい、さまざまな画像形式の既知のエクスプロイトがあり、攻撃者がコンピュータにマルウェアをインストールする可能性があります。

4
KeithS

ウイルスやその他のマルウェアが画像ファイルに埋め込まれる可能性があることを忘れないでください。

1
JonnyBoats