Gmail 默认显示图片是保护隐私的好主意吗?

信息安全 Web应用程序 电子邮件 隐私 移动的
2021-08-17 12:30:00

Google 已决定默认在通过网络、iOS 和 Android 访问的 Gmail 邮件中显示图像:

Gmail 现在不再直接从其原始外部主机服务器提供图片,而是通过 Google 自己的安全代理服务器提供所有图片。

此外,在此页面上,他们解释了为什么他们认为这是安全的:

一些发件人试图以有害的方式使用外部链接的图片,但 Gmail 会采取措施确保安全加载图片。Gmail 通过 Google 的图片代理服务器提供所有图片,并在交付前对其进行转码,以通过以下方式保护您:

  • 发件人无法使用图像加载来获取您的 IP 地址或位置等信息。
  • 发件人无法在您的浏览器中设置或读取 cookie。
  • Gmail 会检查您的图片是否存在已知病毒或恶意软件。

在某些情况下,发件人可能能够知道个人是否打开了带有唯一图像链接的邮件。与往常一样,Gmail 会扫描每封邮件中的可疑内容,如果 Gmail 认为发件人或邮件可能可疑,则不会显示图像,并且会询问您是否要查看这些图像。

这似乎是朝着错误方向迈出的一步,因为它让营销人员可以看到哪些消息已被传递然后打开。这是一个好主意吗?对于不一定是 Google 客户的营销人员,Google 可能会损害其用户的隐私。

如果我在默认 Gmail 选项的情况下使用电子邮件隐私测试器,我可以看到只要我在网络上打开电子邮件,就会通知发件人。通过从链接中删除跟踪信息,我可以看到谷歌如何聪明地解决这个问题,但似乎情况并非如此。

例如,如果 Google 处理包含<img src="http://www.example.com/img.jpg?trackingId=1234" />多个收件人的相同消息,但使用不同trackingId的 s,他们可能会很聪明,并通过请求不带 s 的 URL 向用户显示图像trackingId,这最初是我认为可能发生的情况。如果 URL 的哪一部分不在查询字符串中,算法需要非常复杂才能确定使用了 URL 的哪个部分,并确保接收到的图像是正确的,但如果您判断,这就是 Google 擅长的他们从他们的搜索引擎。

他们为了能够默认查看图像而暴露用户隐私的动机是什么?

3个回答

他们的动机是基于对问题空间及其解决方案的成本效益分析来增加其服务的价值。

优点:更好的电子邮件体验,加载图像的大多数威胁向量都已消除。

缺点:通过独特图像识别阅读活动(“阅读回执”或“实时电子邮件检测”)的威胁向量。

缓解措施:大多数滥用剩余骗局的人都是垃圾邮件发送者。谷歌还过滤垃圾邮件,降低您收到一封将受益于这个新系统的电子邮件的可能性。此外,只要他们提供选择退出,他们就会覆盖像(大概)你这样对权衡不满意的人。

哎呀,这是谷歌。他们可以在到达时从每封电子邮件中加载和缓存每张图片,从而否定剩余的骗局——攻击者发现每张图片都已加载,而不考虑收件箱的状态或读者的兴趣。当然,这需要带宽和磁盘,但请参阅第 1 步,“这是 Google”。

,这会以意想不到的方式改变隐私行为。

他们做了两个改变:

  • 使用代理加载图像。这有利于隐私。
  • 默认情况下加载图像。这对隐私不利。

我知道这种行为是可配置的。我将默认加载图像;我很高兴这对我来说是一个很好的可用性/隐私权衡。但是人们的需求不同,我认为他们默认启用此功能是一个糟糕的变化。以前需要手动加载图像的机制似乎已被广泛理解,即使是在不太技术的人中也是如此。

如果 Google 会尝试从链接中删除跟踪信息,那么对于编写 Newsletter 交付软件的人来说,很容易对付这种伎俩。他们可以设置他们的服务器,为每个图像请求提供一个唯一的 ID。

默认情况下显示图像的动机非常明确。它增加了可用性。大多数用户希望看到显示的图像。

其它你可能感兴趣的问题
上一篇脚本的 Content-Security-Policy 哈希 下一篇为什么要避免使用 SSH 会话链?