车东@博客大巴

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://chedong.blogbus.com/logs/16342182.html

今天收到一封垃圾邮件：但是在GMail中居然直接就显示了邮件中的图片。我手工标记垃圾邮件后很奇怪：为什么GMail对一封垃圾邮件未经就允许显示图片了呢？

后来看了邮件的信息发现： 这个垃圾制造者的发信人写的地址是我的邮箱地址。利用了GMail等很多邮箱的可信任邮件地址的机制，每个人的可信任发件人列表都不一样，但邮箱主人自己很有可能给自己发过邮件（比如用于备份照片之类的）。所以声称发信人是你自己的时候：就有很大概率是可以显示图片，于是图片请求就被发出了，同时发送给spammer服务的还有你的浏览器信息，来源地址（mail.google.com）等；

最近看到了一些关于Google Account的潜在XSS风险的报道，其实任何一家的服务，安全风险都是存在的，关键的问题是当你对一个服务或者帐号产生很大依赖的时候，进行一次丢失密码的演习还是非常有必要的。Google account可以通过邮箱安全问题和备用邮箱找回忘记的密码，但是被盗的确就比较麻烦了。