警惕JavaScript的“电子邮件窃听”

转自http://www.sina.com.cn 2001/02/12 10:31 日经BP社

　　美国隐私保护团体“The Privacy Foundation”于美国时间2月5日公布了“电子邮件窃听(email wiretapping)”方面的问题。该问题是电子邮件发信人通过在HTML电子邮件中植入JavaScript代码，便可以得知“该电子邮件转发给什么人”以及“追加了哪些内容”等。其对象为可以解释JavaScript的所有对应HTML的电子邮件软件。其原因不在于电子邮件软件的软件错误(Bug)等。如果关闭JavaScript功能，便可以避开这一问题。

　　用来进行“电子邮件窃听”的JavaScript代码是由两个部分构成的。(1)用于读取HTML电子邮件的全部正文内容的部分；(2)将该内容发送给指定的Web服务器的部分。这些功能可以通过JavaScript的标准功能来实现。根据The Privacy Foundation提供的情报，该代码只需30行左右，只要是熟悉JavaScript的程序员，可以在一两天内编写出来。

　　JavaScript代码是在收件人打开了具有JavaScript功能的HTML电子邮件时自动开始运行的。第一个收到植入该代码的发信人不会发生什么问题。发信人也当然知道该信件的内容以及发送给什么人。问题将会发生在当把该邮件转发给第三者的时候。转发时所添加的电子邮件正文，将被发送到原发信人所指定的Web服务器上。

　　而且可传送的不仅仅是电子邮件的内容。还可以用来追踪该电子邮件是如何转发的。只要调查Web服务器的记录，便可以得知打开收到转发电子邮件的用户(或者是用户所属组织)的IP地址、域名以及打开该电子邮件的时间等。

　　解决对策是关闭电子邮件软件中的JavaScript功能。另外，据悉如果用户使用的是微软的Outlook，也可以使用该公司公开的安全性软件包。如果使用该软件包便可以限制包括脚本执行在内的若干功能。

　　不过，即使将自己的电脑设置为禁止运行JavaScript代码，该代码还是可以被植入在HTML电子邮件中。因此，如果收到转发过来的电子邮件的用户打开了JavaScript功能，那么该代码将在收件人处运行从而遭到“窃听”。

　　The Private Foundation认为在电子邮件中几乎没有必要使用JavaScript，因此，向电子邮件软件的供应商建议，(1)缺省设置改为关闭JavaScript功能，(2)增加在转发电子邮件时自动删除HTML电子邮件内的脚本的功能等。(IT Pro)