Ah, pero el usuario es "haciendo clic en un enlace en el correo electrónico". Simplemente es un "clic automatizado". El peligro de "hacer clic en un enlace en el correo electrónico" no proviene de la acción física de presionar el botón, sino de la descarga de datos de un enlace que se encuentra en el correo electrónico. Si esta descarga se produce automáticamente, el riesgo no se reduce; todo lo contrario, de hecho. La mayoría del software de correo electrónico ofrece, al menos como opción, una posibilidad no para descargar automáticamente las imágenes; esta es una mejora porque, al menos, proporciona una forma para que el usuario evite que se produzca la descarga (es decir, al no hacer clic).
En ese sentido, su propuesta es equivalente a un sistema de clic en correo electrónico y comparte los mismos problemas de seguridad. En el mejor de los casos, mejora la experiencia del usuario, ya que elimina el clic físico en los casos en que el usuario es descuidado (es decir, su software sigue los enlaces de imagen automáticamente). Hasta cierto punto, lo que sugiere se reduce a: "sí, el usuario es vulnerable, pero al menos podemos aprovechar su vulnerabilidad para hacer su vida más fácil; no puede ser protegido, pero llenemos su mundo de ignorancia feliz en lugar de temor".
Ahora, si toma el punto de vista del servidor, el sistema garantiza que quien recibió la cookie en su navegador web también puede leer los correos electrónicos enviados a la dirección especificada, ya que el navegador siguió el enlace de imagen del correo electrónico. . Todavía debe asegurarse de que el enlace en el correo electrónico contenga un componente aleatorio no adivinable; de lo contrario, un atacante podría simplemente obtener la imagen al escribir el enlace en su navegador y, por lo tanto, simular la recepción del correo electrónico. Como de costumbre, incluso los mejores sistemas de seguridad contienen suficiente espacio para destruirlos totalmente, si se implementan sin el debido cuidado.