liv*_*ing 0 gmail email internet-security
此处(列表中的第 5 项)建议不要回复匿名电子邮件,因为有可能被感染。我知道曾几何时这是可能的,因为 JavaScript。但现在,它仍然是一个问题吗?特别是对于 Gmail 等更高安全性的电子邮件服务。
此处(列表中的第 5 项)建议不要回复匿名电子邮件,因为有被感染的可能性。
查看您链接到的页面上的第 5 项,表明这些都与基本的最终用户电子邮件感染无关:
5. 不要回复(或点击任何链接)您不认识的任何与域相关的电子邮件。还要注意不要回复您从不认识的公司通过邮件收到的任何“官方外观”续订通知。众所周知,域名劫持者和不道德的注册商会提交大量转移,希望一小部分混淆的注册人会意外地确认转移。如有疑问,请联系您的原始注册商以验证任何可疑消息。
读完之后,很明显建议是关于如何避免欺诈性域名注册转移和相关的域名注册商变更。这意味着,如果您确实从真正的域注册商那里收到了一些电子邮件通知,告知您“需要您采取行动”来完成某个流程,请完全不要采取行动。否则,您将冒着启动一个过程的风险,在这个过程中,不是您的人可能会从您的手下窃取您的域名。
也就是说,这些说明似乎很陈旧。该页面的版权日期为 2009 年,但即使在那时,以这种方式窃取域名注册也不是那么“神奇”。
现实情况是,如今的域名注册变更需要更多的制衡——以及更多的“社会工程”技能(又名:成为一个完整的骗子)——并且不能简单地通过触发一封简单的电子邮件来影响。因此,虽然这个建议有些合理——忽略不需要的电子邮件总是好的——但它也有点偏执。
我知道曾几何时这是可能的,因为 JavaScript。但现在,它仍然是一个问题吗?特别是对于 Gmail 等更高安全性的电子邮件服务。
你的机会得到通过回复电子邮件感染是相当低的无法比拟的,因为在回答了从未去过的向量。曾经存在的唯一电子邮件感染的风险来自于寻找在-或打开,因为如果邮件有HTML内容,有-an电子邮件是该HTML风险可能包含嵌入的恶意的JavaScript。
这曾经是一些电子邮件浏览器/程序中的一种风险,它们没有正确过滤/停用电子邮件中的 JavaScript,例如 -drumroll -Microsoft Outlook 将 HTML 电子邮件视为只是 HTML 网页。将 HTML 电子邮件视为 HTML 网页的简单行为打开了一扇相当大的感染之门,只需查看电子邮件即可。
所以你认为现在有更多的保护措施是 100% 正确的。任何真正称职的现代电子邮件浏览器/程序的主要“保护”就是在显示 HTML 电子邮件内容时根本不运行 JavaScript。正如本页“电子邮件 HTML 的注意事项”中所述:
不要使用 JavaScript。它将被忽略甚至被视为安全风险。一旦有人收到有关您的一封电子邮件的安全通知,他们就不太可能打开另一封电子邮件。
我能想到的唯一边缘风险是,如果您以某种方式使用过时的、基于浏览器的电子邮件客户端,该客户端没有主动过滤 HTML 电子邮件中的 JavaScript。在这种情况下,基于浏览器的电子邮件程序只会在 Web 浏览器中显示 HTML 电子邮件。这当然会显示电子邮件的 HTML 内容,就好像它是一个纯 Web 浏览器 HTML 页面……JavaScript 等等。但是就像我说的那样,这在当今严格来说是一种边缘风险,但是如果您以某种方式遇到(并且需要使用)基于浏览器的电子邮件程序,您应该意识到这一点。
| 归档时间: |
|
| 查看次数: |
10011 次 |
| 最近记录: |