Email HTML? Rischi seminuovi

Chi utilizza programmi di posta elettronica configurati per ricevere email in formato HTML rischia di essere spiato nei suoi movimenti. Lo dimostra la Privacy Foundation: basta, come sempre, un Javascriptino fatto bene

Email HTML? Rischi seminuoviWeb - In tanti usano la posta elettronica e in tanti abilitano il proprio software a gestire email in formato HTML. Una "abilitazione" che può però consentire di essere spiati dal mittente di una email di questo genere che contenga nell'HTML un codice JavaScript realizzato con una certa intenzione.

Secondo Privacy Foundation, che ieri ha tenuto una sorta di "dimostrazione pubblica", è possibile infilare un codicillo che consente di conoscere qualsiasi commento che venga aggiunto al messaggio dall'utente che lo ha ricevuto e che lo rimanda, con i propri commenti, a qualcun altro.

Questo accade perché il JavaScript prevede il rinvio del messaggio al mittente originale ogni volta che questo viene forwardato. Unico "ostacolo" invalicabile per questo genere di script è, naturalmente, avere disabilitato i JavaScript sul proprio sistema di gestione della posta elettronica.
Il problema si pone soprattutto per gli utenti meno esperti, anche perché se è vero che un messaggio HTML può contenere grafiche e immagini, è altrettanto vero che può sembrare in tutto e per tutto un messaggio di solo testo.

"Quando ho visto questo bug - ha dichiarato uno dei boss della Foundation al New York Times - mi sono sorpreso di quanto sia facile spiare qualcuno". Secondo la Foundation il problema si pone da subito, in quanto nelle email HTML inviate da servizi commerciali già oggi spesso e volentieri ci sono tag nascosti che indicano all'azienda se l'email è stata letta o no. Ma uno script potrebbe dire a quell'azienda molto di più?

La soluzione contro questo genere di istruzioni è dunque quella di disabilitare i JavaScript considerando, però, che se si forwarda il messaggio a qualcuno che non ha disabilitato i JavaScript, al successivo invio da parte di quest'ultimo verrà spedito anche il "messaggio segreto" al mittente originale del messaggio stesso.

Va detto anche che nel codice di una mail HTML possono nascondersi varie forme di programmini, tra cui alcune specie di virus o troiani, capaci in condizioni di "difese abbassate", di infilarsi nel sistema dell'utente.
TAG: mondo
29 Commenti alla Notizia Email HTML? Rischi seminuovi
Ordina
  • Se qualcuno sa fornire gli indirizzi di qualche risorsa che spieghi in modo preciso come settare in modo sicuro i client di posta e navigazione + comuni (es.IE 5.5 + OE), sarà benedetto.
    Se poi ne segnala qualcuna che spiega come fare tutto senza far sapere i fatti nostri a chi non vogliamo, pregherò per lui tutte le sere.
    E a quanto leggo, non credo che sarò il solo.

    Ciao a tutti.
    non+autenticato
  • - Scritto da: Peppe
    > Se qualcuno sa fornire gli indirizzi di
    > qualche risorsa che spieghi in modo preciso
    > come settare in modo sicuro i client di
    > posta e navigazione + comuni (es.IE 5.5 +
    > OE), sarà benedetto.

    disinstallarli e usare qualcosa di non microsoft (es. eudora, netscape, forte agent)

    > Se poi ne segnala qualcuna che spiega come
    > fare tutto senza far sapere i fatti nostri a
    > chi non vogliamo, pregherò per lui tutte le
    > sere.

    PGP (a pagamento, ma credo che ne esista una versione free) e GnuPG (credo solo sotto unix). Sono metodi di cifratura asimmetrica che garantiscono una sicurezza matematica elevatissima di criptazione (rendere illeggibile il testo ad altri) e firma (autenticare che quel testo e' stato scritto da noi). E' tuttavia poco utilizzato (purtroppo) e poco user friendly (per chi non ha cervello nella scatola cranica... e' sufficiente passarsi una sera per leggersi l'help e si impara)
    non+autenticato


  • > disinstallarli

    ROTFL!
    Mi hai levato le parole di bocca!

    >e usare qualcosa di non
    > microsoft (es. eudora, netscape, forte
    > agent)

    OK quelli che hai citato, aggiungo Opera (browser e mail) e Phoenix (mail)

    BTW... occhio comunque ,che se vale l'equazione
    M$ = insicuro
    NON vale invece
    non M$ = sicuro

    non+autenticato
  • - Scritto da: Salkaner
    > BTW... occhio comunque ,che se vale
    > l'equazione
    > M$ = insicuro
    > NON vale invece
    > non M$ = sicuro

    mai detto che valga. Certo e' pero' che, sebbene eudora sia piuttosto diffuso (onde prevenire i soliti che dicono che i bug sono proporzionali al numero di utenti che usa un dato software) non e' cosi' bacato come outlook. Almeno io di advisory a riguardo di falle di sicurezza ne ho visti ben pochi su eudora.

    cmq io me ne frego e uso muttOcchiolino
    non+autenticato


  • - Scritto da: munehiro
    > - Scritto da: Peppe
    > > Se qualcuno sa fornire gli indirizzi di
    > > qualche risorsa che spieghi in modo
    > preciso
    > > come settare in modo sicuro i client di
    > > posta e navigazione + comuni (es.IE 5.5 +
    > > OE), sarà benedetto.
    >
    > disinstallarli e usare qualcosa di non
    > microsoft (es. eudora, netscape, forte
    > agent)

    Non sono un esperto come te, ma ho qualche dubbio che sia una soluzione.
    >
    > > Se poi ne segnala qualcuna che spiega come
    > > fare tutto senza far sapere i fatti
    > nostri a
    > > chi non vogliamo, pregherò per lui tutte
    > le
    > > sere.
    >
    > PGP (a pagamento, ma credo che ne esista una
    > versione free) e GnuPG (credo solo sotto
    > unix). Sono metodi di cifratura asimmetrica
    > che garantiscono una sicurezza matematica
    > elevatissima di criptazione (rendere
    > illeggibile il testo ad altri) e firma
    > (autenticare che quel testo e' stato scritto
    > da noi). E' tuttavia poco utilizzato
    > (purtroppo) e poco user friendly (per chi
    > non ha cervello nella scatola cranica... e'
    > sufficiente passarsi una sera per leggersi
    > l'help e si impara)
    Esiste la versione free x uso personale www.pgpi.com, ma risolve solo parzialmente il problema privacy (quando navighi molti possono monitorare le tue abitudini). Più pratico di pgp può essere hushmail.com, ma ho dei dubbi.
    Ho parlato di IE+OE, perchè chi non fa il programatore o simili, può dedicare un paio di ore al giorno (delle 12) alle problematiche tecniche, ma poi deve pensare a fare il suo lavoro.
    Grazie cmq, ma x adesso niente benedizioni e tantomeno preghierineOcchiolino)
    non+autenticato
  • > Non sono un esperto come te, ma ho qualche
    > dubbio che sia una soluzione.

    intanto e' un buon inizio...

    > Più
    > pratico di pgp può essere hushmail.com, ma
    > ho dei dubbi.

    sinceramente non credo proprio. Affidare a terze parti la propria privacy e' una cosa ridicola.

    > Ho parlato di IE+OE, perchè chi non fa il
    > programatore o simili, può dedicare un paio
    > di ore al giorno (delle 12) alle
    > problematiche tecniche, ma poi deve pensare
    > a fare il suo lavoro.

    embe'? un giorno le 2 ore te le usi a imparare. Poi tutti gli altri giorni le usi per usare. Io non credo che questo autluk sia cosi' intuitivo che messo li' in 20 secondi che non hai mai visto un programma di posta elettronica sai gia' usarlo ed e' gia' configurato. La prova di questo e' che tutti quanti si beccano sti worm del cavolo. Se si fossero messi li' _una_ giornata a studiarsi qualcosa, probabilmente il fenomeno non esisterebbe, non credi?

    > Grazie cmq, ma x adesso niente benedizioni e
    > tantomeno preghierineOcchiolino)

    se hai un banco dimm da 128 lo preferisco...
    non+autenticato


  • - Scritto da: munehiro
    > > Non sono un esperto come te, ma ho qualche
    > > dubbio che sia una soluzione.
    >
    > intanto e' un buon inizio...
    >
    > > Più
    > > pratico di pgp può essere hushmail.com, ma
    > > ho dei dubbi.
    >
    > sinceramente non credo proprio. Affidare a
    > terze parti la propria privacy e' una cosa
    > ridicola.
    >
    > > Ho parlato di IE+OE, perchè chi non fa il
    > > programatore o simili, può dedicare un
    > paio
    > > di ore al giorno (delle 12) alle
    > > problematiche tecniche, ma poi deve
    > pensare
    > > a fare il suo lavoro.
    >
    > embe'? un giorno le 2 ore te le usi a
    > imparare. Poi tutti gli altri giorni le usi
    > per usare. Io non credo che questo autluk
    > sia cosi' intuitivo che messo li' in 20
    > secondi che non hai mai visto un programma
    > di posta elettronica sai gia' usarlo ed e'
    > gia' configurato. La prova di questo e' che
    > tutti quanti si beccano sti worm del cavolo.
    > Se si fossero messi li' _una_ giornata a
    > studiarsi qualcosa, probabilmente il
    > fenomeno non esisterebbe, non credi?
    >
    Bastano 10 minuti x capire che gli attachement vanno trattati con cautela (se qualcuno te lo dice), ma a me non è bastata una giornata per capire che esafe non basta e piazzare su zonealarm, come pure capire come evitare web-bugs e compagnia bella.
    Non è un problema di S.O.(o solo in parte), è un problema di info e tempo.

    > > Grazie cmq, ma x adesso niente
    > benedizioni e
    > > tantomeno preghierineOcchiolino)
    >
    > se hai un banco dimm da 128 lo preferisco...

    Volentieri, ma l'unico che ho lo sto usando per tenere 8 finestre aperte, per vedermi 'sti web-bugs mentre scrivo e spazzo via un po' di cookies dai files temporanei di WS.
    Manda qualche dritta buona e ti posso dare 8 ricchi mega x un lussuoso portatile (linux non gira pure su un 386??).
    bye
    non+autenticato
  • Se volete le mail belline e con i java e tutto
    vi beccate le stesse cose che si possono fare anche sulle pagine web...

    La tecnologia e la bellezza si pagano
    altrimenti c'e' il pine e la linea di comando.

    Io preferisco la tecnologia e me ne fotto
    non posso restare a 100 anni fa perche' senno'
    chissa chi mi puo' leggere un messaggio...
    kissenefrega !!!

    non+autenticato
  • - Scritto da: f
    > Io preferisco la tecnologia e me ne fotto
    > non posso restare a 100 anni fa perche'

    tecnologia che? devi leggere un messaggio email, mica vedere un film interattivo. Sarebbe come se uno per augurarti buon Natale ti mandasse per posta, invece del classico biglietto di auguri, un pacchetto contenente un DVD.

    a chi serve?

    a chi serve l'html il javascript l'activeX per leggere del _testo_ ?

    o forse e' perche' la gente non riesce a dare corpo a quello che scrive e quindi, intortandolo di immaginette e cazzatine, cerca di coprire l'inutilita' e il vuoto di cio' che manda?
    non+autenticato
  • Scusate, ma come si disabilitano i Java con Outlook?
    GRAZIE!
    non+autenticato


  • - Scritto da: Ciccio
    > Scusate, ma come si disabilitano i Java con
    > Outlook?
    > GRAZIE!
    E' molto semplice: vai in Strumenti - Opzioni - Protezione e seleziona "Aree di protezione = Area Siti con restrizioni (massima protezione)". Conferma dando un bell'ok. Dopo, vai in Pannello di controllo - Opzioni Internet - Protezione e clicca su "Siti con restrizioni". Quindi clicca su Personalizza livello e nella finestra che ti apparirà scegli l'opzione "Disattiva" per tutte le opzioni che te lo consentono. In questo modo ti proteggerai dall'utilizzo involontario di qualsiasi "cosa" contenuta in una mail in formato HTML.

    Ciao
    Snips
    non+autenticato


  • - Scritto da: Snips
    > questo modo ti proteggerai dall'utilizzo
    > involontario di qualsiasi "cosa" contenuta
    > in una mail in formato HTML.

    GRAZIE 1000 Snips!
    non+autenticato
  • Grazie Snips (mi sono sorbito un sacco di istruzioni, ma ai siti con restrizioni non avevo pensato).

    Ciao
    - Scritto da: Snips
    >
    >
    > - Scritto da: Ciccio
    > > Scusate, ma come si disabilitano i Java
    > con
    > > Outlook?
    > > GRAZIE!
    > E' molto semplice: vai in Strumenti -
    > Opzioni - Protezione e seleziona "Aree di
    > protezione = Area Siti con restrizioni
    > (massima protezione)". Conferma dando un
    > bell'ok. Dopo, vai in Pannello di controllo
    > - Opzioni Internet - Protezione e clicca su
    > "Siti con restrizioni". Quindi clicca su
    > Personalizza livello e nella finestra che ti
    > apparirà scegli l'opzione "Disattiva" per
    > tutte le opzioni che te lo consentono. In
    > questo modo ti proteggerai dall'utilizzo
    > involontario di qualsiasi "cosa" contenuta
    > in una mail in formato HTML.
    >
    > Ciao
    > Snips
    non+autenticato

  • Io senza inviare mail HTML vedo sempre se e quando e' stata aperta la mail che ho inviato, vedo anche se e' stata cestinata senza aprirla.
    Il programma mail che uso e' groupwise della novel.
    Purtroppo anche chi mi manda le mail ha la stessa possibilita' Sorpresa(((
    non+autenticato
  • ... scusate ma davvero... COME DIAVOLO SI FA A DISABILITARE JAVASCRIPT su IE 5.5 e su outlook express, siprattutto? ho perso un'ora e mezza a spulciarmi tutte le opzioni...
    ma io non ho trovato questa possibilità!

    >>>
    "Unico "ostacolo" invalicabile per questo genere di script è, naturalmente, avere disabilitato i JavaScript sul proprio sistema di gestione della posta elettronica.

    Il problema si pone soprattutto per gli utenti meno esperti, anche perché se è vero che un messaggio HTML può contenere grafiche e immagini, è altrettanto vero che può sembrare in tutto e per tutto un messaggio di solo testo."

    ARGH!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)