国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全安全管理 應用案例 網絡威脅 系統(tǒng)安全 應用安全 數據安全 云安全
當前位置: 主頁 > 信息安全 > 安全管理 >

電子郵件需要安全加美觀的呈現

時間:2011-05-02 17:16來源: 點擊:
到目前為止,最安全的瀏覽電子郵件的方式就是以純文本方式瀏覽。那么電子郵件客戶端怎么才能讓豐富內容的電子郵件更安全的呈現在用戶眼前呢?
Tags電子郵件(44)安全美觀(8)  

  到目前為止,最安全的瀏覽電子郵件的方式就是以純文本方式瀏覽。那么電子郵件客戶端怎么才能讓豐富內容的電子郵件更安全的呈現在用戶眼前呢?

  --------------------------------------------------------------------------------------------

  在上一篇文章《為什么發(fā)明HTML郵件是餿主意》我演示了如何通過簡單的純文本瀏覽方式避免郵件內安全隱患的方法。當然,肯定會有人給我們發(fā)送HTML格式的電子郵件,而我們在瀏覽這些電子郵件的時候也完全可以不去考慮文字排版的問題,僅僅用純文本方式來閱讀。

  雖然我希望不是這樣,但實際上很少有人會在收到一些沒有必要以HTML格式編寫的郵件后轉換為純文本方式閱讀。這不僅是因為當前大部分流行的電子郵件客戶端都是將HTML作為默認的電子郵件格式,還因為大多數人都已經習慣并且喜愛使用“信紙”這種帶有背景圖片,華麗的字體以及其它有趣效果的HTML郵件格式了,盡管他們的郵件內容可能只是“好久沒見,你還好嗎?”“你在做什么呢?”這樣簡單的內容。幸運的是,很多電子郵件客戶端出于安全考慮,簡化了HTML郵件的代碼,同時盡可能的保留了郵件布局,這種簡化有時候連用戶也無法察覺。

  但是有時候,我們的郵件客戶端無法處理復雜的HTML代碼,并將其轉換為簡單的純文本方式。產生這種現象的原因很多,有可能是HTML代碼的問題導致無法轉換為純文本;也可能是網站開發(fā)人員在設計自動反饋腳本時沒有采用更好的方式;甚至有可能是用戶關閉了純文本功能。另外,有些用戶的郵件客戶端程序過于古老,只能支持HTML格式。

  不管怎么樣,事實上我們需要的只是可以將郵件內容從一個HTML格式的郵件中提取出來而又不需要什么復雜操作的方法。但是可供選擇的方法少之又少:

  1. 放棄安全性,直接看 HTML郵件,不論是通過支持HTML的郵件客戶端還是別的什么可以瀏覽HTML文件的軟件。

  2. 麻煩一些,自己直接看代碼。

  3. 刪除違反規(guī)定的郵件,要求對方再發(fā)送一封沒有太多HTML代碼的郵件。

  我曾經一直使用第二種。但是在一段時間后,我決定自己編寫一個簡單的腳本來過濾電子郵件中多余的HTML代碼,以便能看到純文本文件。隨著時間的推移,我逐漸給這個腳本添加功能,包括將HTML的換行標記轉換為純文本中的換行輸出。如果采用Ruby 編程語言,或者Mutt這樣高度功能化的文本模式郵件客戶端軟件,這些功能實現起來是非常簡單的。不過對于普通用戶來說,這種方法的難度還是太大了,而且,技術人員也不是很樂意去采用這種方式,尤其是那些在非平臺上工作的人員,他們可以利用的此類開發(fā)工具更少。

  我所使用的腳本越來越向Markdown 這樣的文本解析庫相反的方向發(fā)展了。這類文本解析庫會定義一個簡單的標記語言,并將用戶輸入的純文本轉換為這種語言的標準格式,比如將純文本轉換為 HTML 或XHTML格式。實際上,我是使用Vim 輸入本文,并手動輸入Markdown格式標記符,然后使用Markdown庫運行腳本,將整個文本格式轉換為帶有Web標記的格式,然后發(fā)表在TechRepublic上的。

  如果進一步進化,我自己寫的腳本就會變成上述過程的反過程:它會將 HTML 或 XHTML格式的文件通過簡單的文本格式標記(比如換行符或其他符號),轉換為文本文件,而不會將整個文檔搞得支離破碎,無法閱讀。

  不過目前來說,我的這個腳本仍然只能算是一個工具。就算代碼干凈并且可以發(fā)放給其它用戶,它仍然不是正規(guī)的工具。而用戶真正需要的,是郵件代理或者郵件客戶端能夠將我這個腳本中的功能作為Unix MUAs官方插件或主流GUI郵件客戶端軟件的內置功能提供給客戶。

  一般來說,任何郵件客戶端的“安全模式”都應該能夠給客戶提供一系列功能。比如:

  1. 禁止內嵌的圖片,Flash對象或者任何非文本類對象顯示。

  2. 禁用鏈接文字后的隱藏URL,避免粗心大意的用戶隨意點擊鏈接,從而導致進入網站。

  3. 禁止執(zhí)行任何動態(tài)內容,尤其是包括JavaScript, VBScript,以及類似的程序語言。

  這個列表還可以寫很長,但是我所寫出來的都是必須要遵守的,而另外諸如斜體字,粗體字,下劃線,彩色字以及字符位置的改變(如通過表格或定位)等并不帶有任何隱藏內容的部分,并不需要禁用。另外對于任何非標準ASCII字符也要清楚的標明,以防有些人將URL地址從郵件中拷貝到中。

  最后,我希望大家都能像我一樣,清楚普通的HTML郵件可能存在的安全隱患, 并且能夠主動瀏覽經過精簡的電子郵件,以避免HTML郵件可能給我們帶來的風險。

  另外,如果你能主動將純文本郵件作為默認的郵件發(fā)送格式,我將非常感激你。考慮到大量的和網絡釣魚郵件都采用HTML格式,而大部分合法用戶在他們的郵件中主要還是以文本為主,因此我的垃圾郵件過濾器總是將所有只采用HTML發(fā)送的郵件列為高危郵件。如果您的來信我沒有回復,并且您采用的是HTML格式,那么我想您應該知道,我可能根本就沒有看到您發(fā)給我的郵件。

  我對安全的重視程度要遠高于郵箱中不請自來的郵件。與我平常在其它方面盡可能避免誤報的策略相反,在面對垃圾郵件時,我也會接受一些郵件誤報,寧可過濾掉正常的郵件,也要確保不會有垃圾郵件來影響我電腦的安全性。

------分隔線----------------------------

推薦內容