Вы используете устаревший браузер!

Страница может отображаться некорректно.

Шпиономания

Шпиономания

Другие выпуски этой рубрики (55)
  • добавить в избранное
    Добавить в закладки

«Горячая точка»

Прочитали: 11541 Комментариев: 63 Рейтинг: 148

19 мая 2017

Все мы наслышаны о том, как опасно открывать вложения в письмах от сомнительных отправителей. А может ли навредить картинка из письма?

#drweb

Красный крестик – это так называемое однопиксельное изображение. Достаточно удобная вещь во многих отношениях. В отзывчивом веб-дизайне однопиксельные картинки используются как временные заглушки в ожидании загрузки страницы. Большинство браузеров не поддерживают HTTP Client Hints, поэтому некоторые варианты с отзывчивыми изображениями ждут полной загрузки страницы, чтобы подсчитать актуальный размер картинок, а затем заменяют однопиксельные картинки нужными изображениями при помощи JavaScript.

Есть и еще одно применение однопиксельных картинок: их можно использовать в качестве картинок «по умолчанию». Если нужное изображение по каким-то причинам невозможно найти, в некоторых случаях лучше показать один прозрачный пиксель, чем выдавать «404 — Not Found», которая будет видна в браузерах как «сломанная картинка». Нужное изображение вы в любом случае не увидите, но профессиональнее будет не акцентировать на этом внимание, выдавая иконку «сломанной картинки».

https://habrahabr.ru/post/306210

Но есть у однопиксельных изображений и другие названия – пиксели отслеживания или веб-маячки. В простейшем случае мошенникам (или отделам маркетинга, отслеживающим эффективность своих рассылок) при скачивании полного изображения станут известны время открытия письма, IP-адрес и имя хоста, запросившего картинку.

Это уже ценная информация для спамеров – с ее помощью можно проверить актуальность почтового адреса. Но этим возможности пикселей отслеживания не ограничиваются. С их помощью можно определить операционную систему, получить файлы cookie и данные о почтовом клиенте получателя.

Внимательные читатели наших выпусков, прочитав цитату с Habrahabr, наверное, сразу споткнулись о слово JavaScript. Дело в том, что однопиксельная картинка – это не только ссылка на загрузку, но еще и JavaScript-код, изначально предназначенный для сбора данных о системе, в которой отображается картинка. Это нужно для того, чтобы, скажем, определить размер экрана и отмасштабировать изображение. Но если у мошенников есть возможность использовать JavaScript, значит, они могут собрать нужные данные, загрузить вредоносные файлы и т. д. – возможности огромны.

Еще одно название однопиксельных картинок – скрытые пиксели. Подобные картинки действительно могут быть размером в одну точку, прозрачными или в цвет фона – чтобы пользователи не заметили их. Вас уже исследуют, а вы – ни сном ни духом!

Пиксели отслеживания широко используются и на веб-сайтах. Причем для веб-сайтов пиксели отслеживания позволяют выполнять уникальные вещи.

Предположим, на сайте А размещена специальная картинка (возможно и прозрачная однопиксельная) с сайта Х, собирающего информацию. Затем, когда пользователь открывает сайт Б, на котором размещена та же самая картинка с сайта Х, браузер не загружает эту картинку, а берет ее из кэша. Таким образом, сайт Х узнает о том, что пользователь ранее посетил сайт А. Поэтому отключение кэширования увеличивает анонимность.

https://ru.wikibooks.org/wiki/Защита_конфиденциальных_данных_и_анонимность_в_интернете

А также всегда есть потенциальная опасность того, что, пока картинка находится на главной, сайт, с которого тянется эта картинка, может быть взломан только ради того, чтобы заменить картинку на скрипт.

https://habrahabr.ru/post/140054/

Что делать?

#JavaScript #cookies #слежка #безопасность

Антивирусная правДА! рекомендует

  • Если вам не требуется просматривать изображения непосредственно в теле письма, настройте параметры вашего клиента электронной почты так, чтобы он не открывал картинки по умолчанию. К сожалению, многие бесплатные сервисы сейчас по умолчанию настроены на показ изображений – ведь ваши данные интересуют всех.
  • Используйте Dr.Web Security Space, который включает технологию отслеживания вредоносных скриптов.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: