Метод заключается во включении в письмо небольшого фрагмента кода JavaScript. Если у получателя в почтовом клиенте включена поддержка JavaScript, то при переадресации письма с дополнительными комментариями его копия уйдет первому отправителю. Простой пример: А посылает письмо со зловредным кодом Б, а тот, желая обсудить письмо, пересылает его третьему человеку - В. Между Б и В завязывается переписка, причем копия каждого послания попадает к А. Этого, конечно, можно избежать, если Б создаст для отправки В новое письмо и скопирует туда обсуждаемый текст, но так редко кто поступает. Второй способ использования обнаруженного бага: сбор электронных адресов. Отослав приятелю шутливое сообщение, которое предполагает дальнейшую рассылку как можно большему числу адресатов, злоумышленник может за короткий промежуток времени собрать базу адресов электронной почты - ему будут приходить все рассылаемые копии первоначального сообщения. Избежать попадания в эту ловушку очень просто - достаточно отключить JavaScript. Процедура, правда, довольно утомительна: в Microsoft Outlook и Outlook Express эта опция упрятана подальше. Впрочем, справедливости ради надо отметить, что во многом благодаря усилиям Privacy Foundation в последнее время Microsoft Outlook и Outlook Express поставляются с отключенной по умолчанию опцией поддержки JavaScript. Источник: Журнал "Компьютерра" |