Judit
-2 °C
8 °C

E-mail-lopás JavaScripttel

2001.02.06. 15:27
Kapcsolódó cikkek (1)
Akik még mindig hisznek abban, hogy pitiáner kis titkait érdemes e-mailen megosztani legjobb barátaikkal, kapnak egy utolsó esélyt, hogy ráeszméljenek, mennyire könnyen férhet valaki hozzá legféltettebb vallomásaihoz. HTML-alapú levelek esetén nem kell több egy rejtett JavaScriptnél, és máris többen olvassák az e-mailt, mint akiknek eredetileg szánták.
Ezúttal kivételesen nem az Outlook vagy más levelezőprogram hibájáról van szó, tulajdonképpen még hibáról sem lehet beszélni. A trükk a HTML-levelek, vagyis a honlapszerű, grafikus megjelenítésre képes e-mailek extra tulajdonságai között rejlik. Az ilyen levelek tartalmazhatnak animációkat, színes karaktereket, és minthogy HTML-alapúak, JavaScriptben írt rövid programokat is.

Ahhoz, hogy a trükk a legtöbb levelezőszoftverrel működjön, egy kb. 30 soros kódra van szükség. A kód első fele beolvassa a továbbküldött levél tartalmát JavaScript változónak, a másik fele pedig egy formmal továbbküldi az adatokat. Ekkor beállításoktól függően megjelenhet egy figyelmeztetés, hogy a felhasználó biztosan el akarja-e küldeni az adatokat. Kevésbé feltűnő, ha egy rejtett kép címsorán keresztül megy ki az üzenet szövege. A kész kódot azután egy üres honlapra teszik fel, amelyet egy böngészőn keresztül megnyitott levelezővel küldenek el.

Ha valaki elrejt egy néhány soros kódot az e-mailben, megteheti, hogy megnyit a címzett böngészőjében egy új oldalt, de ugyanennyi erőfeszítésbe kerül, hogy kiderítse, kinek küldték tovább a levelét. Az üzenetbe rejtett sort az olvasó nem veszi észre, csak ha belepillant a levél forráskódjába.

Mivel a legtöbben új levél létrehozása helyett rendszeresen visszaválaszolnak egy korábbi e-mailre, a kóddal akár napokig követhető a továbbküldött üzenet felett kialakult beszélgetés.

Mivel működik a trükk?

A trükk egészen addig működik, amíg a levelelőszoftver biztonsági beállításai között a JavaScript használata engedélyezve marad, vagy olyan gépen megy át az e-mail, amelyik nem kezeli a HTML-alapú üzeneteket. Alapbeállításokkal az Microsoft Outlook, az Outlook Express 5, a Netscape Messenger 6 és a Quamcomm Eudora 5 hajtja végre a rejtett JavaScript-kódokat. A webes felületű levelezőszoftverek általában automatikusan eltávolítják az ilyen sorokat az üzenetekből.

A JavaScript-programok futtatása Netscape Messenger beállításainál alig öt mozdulattal kikapcsolható, míg az Outlook és az Outlook Express esetén előbb a levelezőszoftverek biztonsági beállítását kell magasabbra állítani, majd a Control Panel biztonsági beállításai között kell kikapcsolni az Active scripting funkciót.

A láthatatlan mérőpontok kedvelt eszközei az internetes marketingcégeknek, amelyeket általában arra használnak, hogy kiderítsék, a címzett elolvasta-e a reklámszövegüket. Egy másik módszer, hogy egy rejtett kóddal e-mail címeket gyűjtenek, például egy jópofa vicc körbeküldésével rövid idő alatt egész nemzetségek/kolóniák térképezhetők fel.