(这条文章已经被阅读了 5 次) 时间:2001-02-12 14:50:40 来源:上网了 (上网了) 转载
警惕JAVASCRIPT的“电子邮件窃听”
(01-2-12 下午 12:35:46)
警惕JAVASCRIPT的“电子邮件窃听”HTTP://WWW.SINA.COM.CN 2001/02/12 10:31 日经BP社
美国隐私保护团体“THE PRIVACY FOUNDATION”于美国时间2月5日公布了“电子邮件窃听(EMAIL WIRETAPPING)”方面的问题。该问题是电子邮件发信人通过在HTML电子邮件中植入JAVASCRIPT代码,便可以得知“该电子邮件转发给什么人”以及“追加了哪些内容”等。其对象为可以解释JAVASCRIPT的所有对应HTML的电子邮件软件。其原因不在于电子邮件软件的软件错误(BUG)等。如果关闭JAVASCRIPT功能,便可以避开这一问题。
用来进行“电子邮件窃听”的JAVASCRIPT代码是由两个部分构成的。(1)用于读取HTML电子邮件的全部正文内容的部分;(2)将该内容发送给指定的WEB服务器的部分。这些功能可以通过JAVASCRIPT的标准功能来实现。根据THE PRIVACY FOUNDATION提供的情报,该代码只需30行左右,只要是熟悉JAVASCRIPT的程序员,可以在一两天内编写出来。
JAVASCRIPT代码是在收件人打开了具有JAVASCRIPT功能的HTML电子邮件时自动开始运行的。第一个收到植入该代码的发信人不会发生什么问题。发信人也当然知道该信件的内容以及发送给什么人。问题将会发生在当把该邮件转发给第三者的时候。转发时所添加的电子邮件正文,将被发送到原发信人所指定的WEB服务器上。
而且可传送的不仅仅是电子邮件的内容。还可以用来追踪该电子邮件是如何转发的。只要调查WEB服务器的记录,便可以得知打开收到转发电子邮件的用户(或者是用户所属组织)的IP地址、域名以及打开该电子邮件的时间等。
解决对策是关闭电子邮件软件中的JAVASCRIPT功能。另外,据悉如果用户使用的是微软的OUTLOOK,也可以使用该公司公开的安全性软件包。如果使用该软件包便可以限制包括脚本执行在内的若干功能。
不过,即使将自己的电脑设置为禁止运行JAVASCRIPT代码,该代码还是可以被植入在HTML电子邮件中。因此,如果收到转发过来的电子邮件的用户打开了JAVASCRIPT功能,那么该代码将在收件人处运行从而遭到“窃听”。
THE PRIVATE FOUNDATION认为在电子邮件中几乎没有必要使用JAVASCRIPT,因此,向电子邮件软件的供应商建议,(1)缺省设置改为关闭JAVASCRIPT功能,(2)增加在转发电子邮件时自动删除HTML电子邮件内的脚本的功能等。(IT PRO)