[Security][Mail] Web上のアドレスをクリックしてメールを送信するとCcやBccに気付かない可能性
過去記事ageです。『続きを読む』で追記も参照願います。
Web上のアドレスをクリックしてメールを送信するとCcやBccに気付かない可能性
Webページ上に埋め込まれている「お問い合わせ」などのリンクをクリックした際、メール作成画面が表示されることがあります。 このとき、メール作成画面を開くリンクには
<a href="mailto:〜"></a>を指定しますが、このタグ中に?subject=などのオプションを追加するとメールの件名などを自動的に追加できます。
このニュースは、その仕掛けを悪用(?)して、勝手にCCやBCCを挿入するというもの。通常CCやBCCをメール作成時に表示しないメーラーを利用していると、知らないうちに第三者にメールアドレスやメール本文が開示される危険があると言う事です。
ニュースの中で取り上げられているメーラーはどれも「安全」を売り物にしているものばかりです。 メーラーの危険というと、どうしてもウィルスやトロイの木馬などに目が向いてしまいますが、この種のソーシャルハッキング的な手口にも注意せねばなりません。
(旧題『今日のニュース』,2005/05/27,06:23)
(追記:2008/08/01,00:03)
今日のニュース、というわりにはニュースソースにリンクがない不思議な記事。
URLの末尾に?以降のクエリストリングをつけるやり方を、mailtoプロトコル(HTMLにメーラーを起動するリンクを埋め込む方法)に応用したもの。
こいつを応用して、BCC経由で情報が漏洩するかもしれないよ、という話。
ところで、OutlookExpressは、標準でメール作成画面のBCCを非表示にしていたはず。
BCC非表示のメーラーで、BCCをクエリストリングで埋め込んだらどう振舞うのか、調査する必要がある。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
