Blog

Webpoloska e-mailben?

2009.11.30. 11:08:16, Gulyás Gábor

A webpoloskák (avagy web bug-ok) rendeltetése, hogy detektorként működve érzékeljék, ha egy felhasználó megtekint egy weboldalt. Ez a technológia utat nyit a profilírozás lehetőségének, azaz hogy a szolgáltatók több weboldalon keresztül követhessék a felhasználók tevékenységét, és személyre szabott profilt készítsenek róla az alapján, hogy mikor és milyen szolgáltatásokat vesz igénybe.

Azonban ez nem csak a weben működhet, lehetőség van ugyanezt e-mailben is elkövetni. Egyszerűen csak annyi a támadó dolga, hogy egy szerverre feltölt egy képet, amit beágyaz a küldött levélbe. Amikor megnyitja a címzett a levelet, letölti a képet, és a támadó pedig naplózza a hozzáférést. (Ezért tiltják le a levelezőkliensek a képek automatikus letöltését.)

Ha valaki eddig nem hitt ebben, vagy csak szeretné kipróbálni, megteheti, itt a SpyPig szolgáltatása, ami profilírozásra ugyan nem ad lehetőséget, de azt ki lehet vele deríteni, hogy az adott levelet olvasták-e, illetve milyen IP címről, kliensből. Mivel a PET Portál nem a Privátszféra Ellenes Technológiák portálja, első sorban a probléma valós mivoltára szeretnénk felhívni a figyelmet, illetve arra, hogy védekezni az ilyen támadások ellen valóban szükséges.

Hogyan is védekezhetünk? Pofonegyszerű módon: semmilyen feladónál se engedélyezzük a képek automatikus betöltését! Ha nem szeretnénk így eljárni, már ki is futottunk a kényelmes megoldásokból. Például GMail, ThunderBird kliensekhez sajnos nem ismerünk olyan kiegészítőt, amivel doménfüggő módon le lehet tiltatni képeket, pedig ez lenne a legkézenfekvőbb megoldás.

Egyéb esetben elég, ha letiltjuk a gépünkön az adott domaint; például ha Windows felhasználók vagyunk, akkor a hosts fájlban a spypig.com domént a 127.0.0.1 IP címre irányítjuk. Így egész biztosan nem fognak ebből a doménből letöltődni képek.

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat