Re: [escepticos] HTML

[Borja Marcos <borjamar@...>]

On Friday, Mar 21, 2003, at 12:51 Europe/Madrid, Tei wrote:
> Seguridad: No.
>
> Los problemas de seguridad son infinitos, y bastante sibilinos. Una de 
> las
> muchas cosas divertidas que se pueden hacer son enlaces que supongan
> intentos de romper la seguridad de la casa blanca:

	El mayor problema del correo HTML no está en que sea incómodo (que lo 
es) el que se envíen esos mensajes a una lista y se desperdicien 
recursos de red, que parecen ser "gratis".

	Desde el punto de vista de la seguridad, el problema grave es la 
utilización de HTML en los mensajes. Veamos un ejemplo:

	Soy un spammer que quiere averiguar cuánta gente ha leído un mensaje 
que envío. Lo hago en HTML, y en el mensaje incluyo una referencia a 
algo (por ejemplo, una imagen) con una URL para cada víctima. De esta 
forma sabré:

	- Que lo ha leído
	- A qué hora lo ha hecho
	- Desde qué dirección IP lo ha hecho

	Y si además esto lo unimos a alguna de las graves vulnerabilidades de 
Windows con Internet Explorer y Outlook, tenemos que:

	- Por leer un correo inocente podría introducir un virus en el 
ordenador de la víctima
	- Puedo hacer que vaya a visitar una página porno (este riesgo ya lo 
ha comentado Tei) con los problemas que esto puede ocasionar en 
empresas donde se controle lo que hacen los usuarios

	etc, etc, etc.

	Por si fuera poco, hay un archivo de mensajes de esta lista que se 
mantiene en archivos de texto, y el correo en HTML es una pesadilla en 
ese caso.

	Y, respecto al tema del tráfico, no está de más recordar que esta 
lista funciona gracias a la gentileza de una organización que nos 
permite usar sus servidores y su red. No estaría de más tratar de que 
el impacto fuera mínimo.



	Borja.