¿De qué manera la prevención de la descarga automática de imágenes ayuda a proteger mi privacidad?

Primero, es importante comprender qué tipo de imágenes no muestra el cliente. En su caso, como indica el mensaje, estas son imágenes que se habrían "descargando" ed. Eso significa que estas son no imágenes incrustadas en el correo electrónico (multiparte, etc.) , pero a las que se hace referencia (HTML img , etc.) .

Ahora imagine qué tipo de información podría obtener el remitente si su cliente descarga una imagen especificada por el remitente desde un servidor especificado por el remitente.

Por supuesto que obtendría: La hora exacta y, muy importante, la confirmación de que viste el mensaje en absoluto. Él podría fácilmente rastrearte.

¿Quién podría querer esa información y para qué? Spambots podría verificar que la dirección sea válida y esté en uso . ...

¿Cómo funciona en la práctica? Digamos que estás viendo un HTML -Mail y que contendría algo como esto <img src="http://sendercontrolledserver/didviewmail.jpg?address=youremail@yourprovider"width="1" height="1" /> . Su cliente no sabe qué sucede en el servidor si solicita esa imagen, el recurso entregado por el servidor no necesita ser una imagen, ¿cómo podría saberlo el cliente antes de cargarlo? No podías verlo con ese tamaño, también.

Esta es su información personal privada y su exposición sería una amenaza de privacidad.

Una de las razones de esto es que la carga automática de imágenes se puede usar para rastrear a los usuarios que abren el correo (de la misma manera que un recibo de lectura).

Supongamos que una empresa de marketing envía un correo a mil usuarios y para cada usuario, colocan un enlace a una imagen diferente en el correo (de modo que el usuario uno obtiene image0001.jpg, el usuario dos obtiene image0002.jpg y así sucesivamente), y alojar las imágenes en su servidor web.

Esta técnica ha sido utilizada por compañías de marketing por correo electrónico, incluso llegando a incluir imágenes de 1x1 píxeles en los correos que, de lo contrario, no los incluyen,

Cuando esas imágenes se cargan desde su servidor web, saben que el usuario ha abierto el correo y visto la imagen (ya que la imagen es exclusiva del usuario), esencialmente lo que les permite rastrear las acciones de los usuarios, lo que podría considerarse una violación. de privacidad.

para que algunos clientes de correo electrónico adopten el enfoque de no cargar las imágenes en el correo electrónico para proteger la privacidad del usuario.

Cuando alguien le envía un correo electrónico, ellos saben muy poco sobre usted personalmente, especialmente si utiliza un servicio de correo electrónico público.

El remitente puede incluir enlaces y / o imágenes que hacen referencia a otros servidores en Internet. Si su cliente descargó automáticamente una de estas imágenes, también estará haciendo clic automáticamente en un enlace sin leerlo. En particular, el tipo de información que pueden determinar a partir de esto es qué cliente está utilizando para leer el correo electrónico (ya que ese cliente utilizará su propio servicio del cual probablemente informaría al servidor su descarga a través del encabezado User-Agent). Sin mencionar la dirección IP de tu casa.

Ahora, si el remitente es el propietario del servidor al que se refieren las imágenes, es muy probable que tenga su cliente, que podría ser una versión antigua que puedan explotar (seguridad), y definitivamente tenga su dirección IP (privacidad), que puede usar para atacarte personalmente.

Como tal, encontrará que el foro de calidad CMS (como mi propia tos :)) utiliza un proxy de imagen para proteger la identidad de los miembros del personal mediante la descarga de imágenes cargadas por el usuario a través del servidor del sitio.

Una imagen a la que se hace referencia en un correo electrónico HTML que utiliza una etiqueta <img> reside en un servidor host remoto y no se incluye en el correo electrónico como un "archivo adjunto integrado". El servidor remoto que aloja la imagen puede rastrear la dirección IP que descarga las imágenes, y con el advenimiento de las URL redirigidas internamente (como las que usa StackExchange para proporcionar "enlaces permanentes" al contenido dinámico), el servidor puede satisfacer la solicitud de una imagen a la dirección de correo electrónico a la que se envió el mensaje, marcando una parte única de la URL de la solicitud (que puede no tener ningún parecido o tener una relación matemática con su dirección de correo electrónico u otra información de identificación legible por humanos).

Por lo tanto, al descargar las imágenes, no solo le ha dicho al servidor remoto que recibió el correo electrónico (y, por lo tanto, la dirección de correo electrónico es válida), sino que lo abrió (y por lo tanto se sintió intrigado al menos por el asunto y / o remitente).

Según lo utilizado por las principales empresas con las que tiene una relación en línea, esto puede ser más o menos inofensivo; Probablemente ya tengan su dirección de correo electrónico porque se la dio, y la información basada en la descarga de imágenes es solo una imagen de marketing, y les dice cuál de sus correos electrónicos tiene y no le ha parecido lo suficientemente interesante como para abrir. Para el correo no deseado, la descarga de una sola imagen puede "incluir en la lista verde" su dirección de correo electrónico, que luego se comercializaría a otros remitentes de correo no deseado. La solicitud de la imagen también puede resultar en la instalación de una cookie de seguimiento (o el examen de cookies que ya se encuentran en su sistema), lo que puede comprometer su privacidad. Finalmente, sí, existen vulnerabilidades conocidas de varios formatos de imagen que pueden permitir que un atacante instale malware en su computadora.

No olvide que los virus y otros programas maliciosos se pueden incrustar en un archivo de imagen.