绿盟安全月刊->第18期->安全新闻 研究发现HTML格式的电子邮件能被他人偷窥

日期：2001-02-05

新浪科技

　　有些人可能仍心存幻想，认为电子邮件具有隐密性，但是一个网络监察机构最近发现了一种很好的窥探别人的电子邮件信息新技巧，偷窥者可以通过这种方法暗中参与收件人在转发或邮件往来过程中添加的任何说明。

　　这种方法无须利用电子邮件软件中的任何安全弊端，这只是精通此道一些行家利用了越来越常用的电子邮件格式(即所谓的HTML邮件)的一个特点，这种格式使用户发送和接收的电子邮件信息看上去很象网页的形式。

　　利用这种剽窃手段，偷窥者能够在这样的电子邮件信息中加入几行JavaScript程序设计语言--这种语言经常被网站用来创建一个弹出的窗口提供指导性帮助信息。邮件信息被嵌入这种语言时收件人并不知情，这样，收件人每次将这一信息转发给其他人时，文件内容就会暗地里发回原发件人一份。

　　尽管HTML电子邮件经常会包括一些图片和动画，但它也可以做成看起来象纯文本邮件的样子。用户要能通过用右键点击邮件查看邮件信息是HTML还是文本格式。如果其中一个菜单选项是“view source”，那么这个邮件就是HTML邮件。通过选择“view source”用户就能够看到信息中嵌入的任何JavaScript编码了。但是编码是不是用来监视邮件信息的对于不熟悉计算机语言的人来说还是难以辨认。

　　美国丹佛的隐私基金会是一个教育和研究性机构，他们打算公开并向大家演示这种方法。该基金会的首席技术官理查德-史密斯说：“我看到这些编码时吃了一惊，因为它能够让你暗中进行监视，而且非常简单。”

　　这些看不到了标记符有时被称作网络窃听器，一些推销商经以及其它一些人经常会在HTML电子邮件中使用，以查看某个人是否打开了一条电子邮件信息。美国国会隐私权委员会已经宣布将于本月末举行听证会调查网络窃听器的使用问题。史密斯说，现在已经非常明确地表明JavaScript可以被用来创建功能更加强大的网络窃听器，它不仅能够透露某人什么时候阅读了一条信息，而且能够告知收件人对于信息有什么评论。

　　因为许多电子邮件用户在较长邮件信息的交流过程中往往会点击“回复”而不是重写一个新邮件，所以这种JavaScript编码可以让一个人在他发出邮件后偷听到所有业务同行关于他在邮件中的提议的观点。这只是一个例子，这种编码也可以被用来收集电子邮件地址--比如，通过邮件传播一条笑话，那么在笑话通过邮件系统的转发过程中，地址信息也就会源源不断地收了回来。

　　一些常用的电子邮件系统如 Microsoft Outlook、Outlook Express和 Netscape Messenger 6都容易受到这种编码的影响。但美国在线用户使用的基于网络的电子邮件程序如Hotmail则不会受感染。用户可以用Netscape Messenger中的编辑菜单中的“属性”命令来关闭JavScript程序。在Outlook和Outlook Express中关闭JavaScript的步骤和复杂一些，但隐私基金会在他们的网站上都进行了说明。

　　但是关闭JavaScript并不意味着电子邮件就不会被偷窥了，因为一条装有窃听程序的信息在回复或转发给其他使用没采取防范措施的电子邮件系统时，它仍能将信息发回最初的发信人。隐私基金会准备演示这一“电子邮件窃听”的过程，他们认为这是非法活动。该组织呼吁各主要的电子邮件系统销售商在提供软件时自动将JavaScript关闭。(火羽)