19.02.2001

Что написано пером, не только не вырубишь топором, но и не скроешь от пристального взгляда злоумышленников. Организация Privacy Foundation обнаружила еще один способ, с помощью которого недобросовестные люди могут заглянуть в чужую переписку или собрать немаленькую коллекцию чужих адресов электронной почты.
Метод заключается во включении в письмо небольшого фрагмента кода JavaScript. Если у получателя в почтовом клиенте включена поддержка JavaScript, то при переадресации письма с дополнительными комментариями его копия уйдет первому отправителю.
Простой пример: А посылает письмо со зловредным кодом Б, а тот, желая обсудить письмо, пересылает его третьему человеку - В. Между Б и В завязывается переписка, причем копия каждого послания попадает к А. Этого, конечно, можно избежать, если Б создаст для отправки В новое письмо и скопирует туда обсуждаемый текст, но так редко кто поступает.
Второй способ использования обнаруженного бага: сбор электронных адресов. Отослав приятелю шутливое сообщение, которое предполагает дальнейшую рассылку как можно большему числу адресатов, злоумышленник может за короткий промежуток времени собрать базу адресов электронной почты - ему будут приходить все рассылаемые копии первоначального сообщения.
Избежать попадания в эту ловушку очень просто - достаточно отключить JavaScript. Процедура, правда, довольно утомительна: в Microsoft Outlook и Outlook Express эта опция упрятана подальше. Впрочем, справедливости ради надо отметить, что во многом благодаря усилиям Privacy Foundation в последнее время Microsoft Outlook и Outlook Express поставляются с отключенной по умолчанию опцией поддержки JavaScript.

Источник: Журнал "Компьютерра"