首先,为什么历史上转化跟踪是通过html像素跟踪实现的,而不是使用其他小型且几乎可以被隐藏的html元素来提供相同的信息?好奇为什么使用html图像而不是其他方法。
其次,许多电子邮件客户端(例如Outlook和Gmail)默认情况下不显示HTML电子邮件中的图像,作为“保护您的身份”的手段。为什么图像比页面中的其他标记元素提供更大的信息曝光量?它们都会在某个服务器的Web日志中显示为来自某个IP地址的GET请求,并带有一些可能的查询字符串参数,因此我不确定为什么图像代表额外的风险。
2个回答
3
与使用其他小型且几乎无法被发现的HTML元素相比,它们可以提供相同的信息吗?
给我一个例子!除了图像之外,我想不出其他的例子了,至少在旧的HTML 4中是如此,这仍然是直到今天富邮件的标准。现在外部样式表可能是一个选择,但在电子邮件中不会加载。背景图片可能会被禁用。
他们都会在某个服务器的Web日志中显示为来自某个IP地址的GET请求,并带有一些可能的查询字符串参数,因此我不确定为什么图像代表额外的风险。
当图像资源嵌入到电子邮件中时,加载该图像的时间是用户阅读电子邮件的时间。此外,提取图像的IP是接收者在那一刻登录到互联网的IP。一个糟糕的修补程序的Windows安装就足以促成这种攻击。
从请求中,也许还可以确定收件人的操作系统,是否在防火墙/路由器后面,他们所使用的互联网提供商,他们大致的位置...所有这些都是非常敏感的信息。
给我一个例子!除了图像之外,我想不出其他的例子了,至少在旧的HTML 4中是如此,这仍然是直到今天富邮件的标准。现在外部样式表可能是一个选择,但在电子邮件中不会加载。背景图片可能会被禁用。
iframe稍后才出现。他们都会在某个服务器的Web日志中显示为来自某个IP地址的GET请求,并带有一些可能的查询字符串参数,因此我不确定为什么图像代表额外的风险。
当图像资源嵌入到电子邮件中时,加载该图像的时间是用户阅读电子邮件的时间。此外,提取图像的IP是接收者在那一刻登录到互联网的IP。一个糟糕的修补程序的Windows安装就足以促成这种攻击。
从请求中,也许还可以确定收件人的操作系统,是否在防火墙/路由器后面,他们所使用的互联网提供商,他们大致的位置...所有这些都是非常敏感的信息。
- Pekka
5
啊,我明白了,这里的神奇之处在于电子邮件中的其他 HTML 内容是静态的 - 它们被嵌入到电子邮件中(当然图像也可以是如此,但这不是电子邮件客户端所保护的)。曝光是因为,正如你说的,图片是在打开邮件时检索的(页面呈现),因此包含有关您当前状态的信息。我的陈述正确吗? - Emilio
进一步澄清一下,垃圾邮件发送者可以为每个目标电子邮件地址自动生成一个新的图像名称,或在img标记中包含跟踪信息的查询字符串。这使得该垃圾邮件发送者能够准确地看到哪些电子邮件地址已经打开了邮件。 - chrissr
@Emilio 没错。而且使用 @chrissr 所述的方法,可以“个性化”信息,确切地知道哪个电子邮件地址在何时何地阅读了该消息。这种方法被称为“网络虫”。 - Pekka
谢谢。我想<script>标签可以像<img>元素一样用于跟踪目的,对吗? - Emilio
@Emilio,他们可以这样做,但在电子邮件中它们并不可靠(我认为大多数客户端都不支持邮件中的JS),而且它也可能在浏览器中被禁用。 - Pekka
1
当您从网站加载图像时,您向该网站的http服务器发出请求。该请求包含相当广泛的标头信息。
图像从第一个HTML规范中就存在,这解释了它们的常见用途。
在HTML电子邮件中显示图像可能被视为“安全风险”,因为这可以确认垃圾邮件发送者有人实际阅读他们的垃圾邮件。
图像从第一个HTML规范中就存在,这解释了它们的常见用途。
<iframe>,<object>,<script>和所有其他可嵌入元素是在后来的版本中引入的,并不总是受到浏览器支持或启用。在HTML电子邮件中显示图像可能被视为“安全风险”,因为这可以确认垃圾邮件发送者有人实际阅读他们的垃圾邮件。
- Otto Allmendinger
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接