Почему электронные письма не загружают изображения напрямую

Question

Почтовые провайдеры, такие как Gmail, Yahoo, Hotmail, не загружают изображения в электронную почту напрямую. Эти сервисы требуют, чтобы вы загружали изображения. Почему они это делают? Это для предотвращения XSS / CSRF?

Answer 1

Две причины - Конфиденциальность и CSRF.

Конфиденциальность

Позволяет отправителю выяснить, открыл я письмо или нет, беззнания .Спаммеры могут выяснить, повлияли ли их «маркетинговые» кампании или нет.

CSRF

Чтобы CSRF работал, жертва должна щелкнуть ссылку или посетить страницу злоумышленников.Если почтовые клиенты будут автоматически отображать изображения, достаточно просто открыть электронное письмо, чтобы запустить атаку CSRF.

Например, предположим, что в PayPal была уязвимость CSRF.Также предположим, что пользователь вошел в систему PayPal.Теперь злоумышленник отправляет пользователю электронное письмо с <img src="http://paypal.com/transferfunds?fromAccount=victim&toAccount=attacker"/>.Как только пользователь откроет письмо, средства будут переведены.

Answer 2

Поскольку это позволяет серверу (потенциально враждебному отправителю) узнать, что электронное письмо получено.

Answer 3

Многие спам-письма используют изображения для определения действительных почтовых адресов, внедряя вредоносные изображения в контент.Например:

<img src="http://example.com/validImage.png?mail=toto@example.com" />