IT之家7月19日消息，科技媒體NeoWin于昨日（7月19日）發(fā)布博文，報(bào)道稱系統(tǒng)管理員Mike Cardwell揭露了Evolution郵件客戶端存在隱私問題，其DNS預(yù)取功能會(huì)泄露用戶活動(dòng)。

IT之家注：Evolution是GNOME桌面環(huán)境的官方個(gè)人信息管理器和郵件客戶端，它集成了郵件、日歷和地址簿功能，能讓用戶方便地管理電子郵件、日歷、聯(lián)系人和任務(wù)等。

Cardwell指出，在Evolution客戶端里，電子郵件可包含一個(gè)rel屬性設(shè)置為dns - prefetch的鏈接HTML標(biāo)簽，且href屬性中包含一個(gè)跨域，其作用是告知瀏覽器或郵件客戶端預(yù)先解析該域的IP地址。

通常情況下，對(duì)于任何遠(yuǎn)程內(nèi)容，Evolution所使用的Web渲染引擎WebKitGTK應(yīng)發(fā)出一個(gè)名為WebPage::send - request的信號(hào)，并依據(jù)“加載遠(yuǎn)程內(nèi)容”設(shè)置來決定是否阻止連接。當(dāng)該設(shè)置禁用時(shí)，本應(yīng)阻止追蹤器和其他不良內(nèi)容。

但問題在于，WebKit并不發(fā)送該信號(hào)，而是直接進(jìn)行DNS查詢，這完全繞過了Evolution的隱私防護(hù)措施。如此一來，發(fā)件人無需收件方同意，就能知曉收件方是否打開了他們的郵件以及何時(shí)打開。

Cardwell后續(xù)進(jìn)一步挖掘發(fā)現(xiàn)，利用該漏洞，不僅能知道DNS解析器的IP地址，還能知道用戶的實(shí)際IP地址。

然而，GNOME開發(fā)者并不認(rèn)可這是一個(gè)漏洞。一位開發(fā)者指責(zé)Cardwell在博客上“抹黑項(xiàng)目”，稱他“自以為是”，還認(rèn)為他的報(bào)告“適得其反且令人沮喪”。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請(qǐng)?jiān)谖闹凶⒚鱽碓醇白髡呙帧?/p>

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請(qǐng)及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com