轉自http://www.sina.com.cn 2001/02/12 10:31 日經BP社 　　美國隱私保護團體“The Privacy Foundation”于美國時間2月5日公布了“電子郵件竊聽(email wiretapping)”方面的問題。該問題是電子郵件發(fā)信人通過在HTML電子郵件中植入JavaScript代碼，便可以得知“該電子郵件轉發(fā)給什么人”以及“追加了哪些內容”等。其對象為可以解釋JavaScript的所有對應HTML的電子郵件軟件。其原因不在于電子郵件軟件的軟件錯誤(Bug)等。如果關閉JavaScript功能，便可以避開這一問題。 　　用來進行“電子郵件竊聽”的JavaScript代碼是由兩個部分構成的。(1)用于讀取HTML電子郵件的全部正文內容的部分；(2)將該內容發(fā)送給指定的Web服務器的部分。這些功能可以通過JavaScript的標準功能來實現(xiàn)。根據(jù)The Privacy Foundation提供的情報，該代碼只需30行左右，只要是熟悉JavaScript的程序員，可以在一兩天內編寫出來。 　　JavaScript代碼是在收件人打開了具有JavaScript功能的HTML電子郵件時自動開始運行的。第一個收到植入該代碼的發(fā)信人不會發(fā)生什么問題。發(fā)信人也當然知道該信件的內容以及發(fā)送給什么人。問題將會發(fā)生在當把該郵件轉發(fā)給第三者的時候。轉發(fā)時所添加的電子郵件正文，將被發(fā)送到原發(fā)信人所指定的Web服務器上。 　　而且可傳送的不僅僅是電子郵件的內容。還可以用來追蹤該電子郵件是如何轉發(fā)的。只要調查Web服務器的記錄，便可以得知打開收到轉發(fā)電子郵件的用戶(或者是用戶所屬組織)的IP地址、域名以及打開該電子郵件的時間等。 　　解決對策是關閉電子郵件軟件中的JavaScript功能。另外，據(jù)悉如果用戶使用的是微軟的Outlook，也可以使用該公司公開的安全性軟件包。如果使用該軟件包便可以限制包括腳本執(zhí)行在內的若干功能。 　　不過，即使將自己的電腦設置為禁止運行JavaScript代碼，該代碼還是可以被植入在HTML電子郵件中。因此，如果收到轉發(fā)過來的電子郵件的用戶打開了JavaScript功能，那么該代碼將在收件人處運行從而遭到“竊聽”。 　　The Private Foundation認為在電子郵件中幾乎沒有必要使用JavaScript，因此，向電子郵件軟件的供應商建議，(1)缺省設置改為關閉JavaScript功能，(2)增加在轉發(fā)電子郵件時自動刪除HTML電子郵件內的腳本的功能等。(IT Pro)