Hacker News 中文摘要

RSS订阅

Evolution Mail用户易被追踪 -- Evolution Mail Users Easily Trackable

原文链接 | HN讨论 | 2025-07-10 11:15:48

文章摘要

Evolution Mail的“加载远程内容”选项作为隐私保护功能无效,多年来一直存在漏洞且未修复。即使禁用远程内容,邮件中的特定HTML标签仍会触发DNS请求,导致发件人可通过DNS日志追踪收件人是否阅读邮件及其大致位置。尽管已提交漏洞报告,但Evolution Mail将此问题归咎于WebKitGTK,并将报告标记为重复,问题至今未解决。

文章总结

文章主要内容总结:

文章揭露了Evolution Mail邮件客户端在隐私保护方面存在严重漏洞,尤其是其“加载远程内容”功能无法有效防止用户被追踪。作者发现,即使关闭了远程内容加载功能,邮件中的某些HTML标签(如<link rel="dns-prefetch"><link rel="preconnect">)仍会触发DNS请求或TLS连接,导致发件人可以通过DNS日志或SNI头信息追踪用户的IP地址和地理位置。

作者已向Evolution Mail提交了漏洞报告,但开发团队将此问题归咎于WebKitGTK,并关闭了报告,称其为另一个问题的重复。该问题最早在2023年8月被报告为WebKit漏洞,但至今未得到解决。

作者建议通过维护允许的HTML标签和属性白名单,并在将邮件HTML传递给浏览器之前剥离潜在风险标签来增强隐私保护,但这一建议似乎未被采纳。因此,作者强烈建议重视隐私的用户卸载Evolution Mail,因为其无法有效保护用户隐私,且开发团队并未将此视为其责任。

文章最后提供了捐赠选项,支持通过比特币、Monero、Zcash和Paypal进行捐赠,并提供了RSS订阅和Mastodon关注链接。

图片标记: - Image 1: Bitcoin - Image 2: Monero - Image 3: Zcash - Image 4: Paypal

评论总结

  1. 对HTML邮件的批评

    • 评论2(ajross)认为HTML邮件格式复杂且不安全,现代邮件客户端嵌入了整个网络应用开发环境,但缺乏标准合规性和安全性,导致电子邮件在日常使用中逐渐被淘汰。
      • 引用:"HTML as a mail format is a horrifying mess."
      • 引用:"This is one of the big reasons why email has pretty much died for casual use."
    • 评论9(akimbostrawman)简洁地表示HTML邮件是一个错误。
      • 引用:"HTML mails continue to be a mistake."

  2. 隐私问题

    • 评论3(kosolam)指出,即使禁用图片加载,Gmail仍会向跟踪服务透露邮件已被打开。
      • 引用:"gmail also reveals to tracking services that you opened an email even when you disabled loading images."
    • 评论6(aitacobell)认为无效的隐私功能比没有隐私功能更糟糕。
      • 引用:"Privacy feature that doesn't work is (arguably) worse than no privacy feature at all."

  3. 技术解决方案与修复

    • 评论5(arp242)提到,尽管存在技术漏洞,但没有人真正利用这些漏洞,问题类似于“树倒在森林里但没人听到”。
      • 引用:"I suppose, but AFAIK no one is really doing that."
    • 评论7(dvdkon)对WebKit的bug修复表示乐观,认为问题会在源头得到解决。
      • 引用:"I'm hopeful this will be fixed at the source."

  4. 防御策略与工具

    • 评论8(btown)建议使用HTML预处理工具和CSP策略来增强安全性。
      • 引用:"maintaining a whitelist of allowed html tags and attributes, and stripping them before passing the email html onto a web browser would be a good defense in depth strategy."
    • 评论11(gucci-on-fleek)推荐使用Evolution邮件客户端,默认显示纯文本版本以减少HTML邮件的影响。
      • 引用:"Evolution lets you default to the plain text version of an email, even if it contains an HTML version."

  5. 其他观点

    • 评论10(NoahZuniga)询问Thunderbird是否能够防止这种跟踪方式。
      • 引用:"Does thunderbird protect against this tracking vector?"
    • 评论4(monster_truck)提到“白名单”现在被称为“允许列表”。
      • 引用:"They're called allowlists now."

总结:评论主要围绕HTML邮件的复杂性、隐私漏洞以及可能的解决方案展开。多数评论对HTML邮件的安全性和隐私保护表示担忧,但也提出了一些技术手段和工具来缓解这些问题。