[RSF] Messaggi in html

Delete this message

Reply to this message
Author: Michele Citoni
Date:  
Subject: [RSF] Messaggi in html
Un ottimo consiglio dal notiziario on line "Internet per tutti" negli
articoli che riporto qui sotto: non inviamo posta in formato html e
smetteremo di diffondere molti virus e di fare gli interessi degli spammer.
Per Outlook Express credo che basti seguire dal menu principale il percorso
"preferenze" > "Outlook Express" > "composizione messaggio" e selezionare
"solo testo". Meglio ancora non usare Outlook. Chi ne sa di pi=F9 mi corregga
e integri, per favore.
Mik



4/4/2003
__Quando apri uno spam, lo spammer lo sa__

Sono anni che si argomenta che il modo migliore per porre fine
all'invasione di virus (worm) disseminati tramite e-mail sarebbe abolire
l'e-mail "ricca", quella in formato HTML, quella che ha tutti gli effettini
carini, le immagini e gli sfondi, e tornare all'e-mail "dura e pura",
quella degli esordi della Rete: testo puro e semplice, senza orpelli ma
soprattutto incapace di veicolare virus ad esecuzione automatica come
quelli tanto cari agli utenti di Outlook.

Ora c'=E8 un motivo in pi=F9 per farlo: lo spam. Uno dei problemi fondamentali
della putrida esistenza di uno spammer =E8 verificare che gli indirizzi ai
quali manda la sua spazzatura pubblicitaria siano autentici e soprattutto
siano utilizzati e consultati. Come descritto presso

http://commons.somewhere.com/buzz/2000/Security.web.bugs.email..html

l'e-mail in formato HTML mette a sua disposizione uno strumento molto
efficace, il cosiddetto "web bug", gi=E0 noto per altri usi antiprivacy nelle
pagine Web.

In questo caso, lo spammer include nella propria posta pubblicitaria un web
bug, sotto forma di un rimando HTML (link) a una piccola immagine
trasparente, grande quanto un pixel e quindi invisibile. L'immagine non
viaggia insieme al messaggio, ma risiede sul server dello spammer, e ha un
nome univoco per ogni utente spammato (che so, un web bug mirato al
sottoscritto potrebbe chiarmarsi "topone_at_pobox_puntocom.gif").

Cos=EC facendo, quando la vittima apre il messaggio, il suo programma di
posta esegue automaticamente l'HTML del messaggio stesso e quindi tenta di
caricare l'immagine nascosta: siccome l'immagine risiede sul server, tenta
in altre parole di contattare lo spammer, e da lui chiede un file di
immagine ben preciso.

Lo spammer non deve fare altro che guardare quali dei vari file di immagine
sono stati richiesti per sapere quali degli indirizzi spammati esistono e
quali no, e soprattutto quali caselle di posta vengono consultate e quali
no.

Con questo sistema, il semplice fatto di leggere uno spam conferma allo
spammer la validit=E0 dell'indirizzo spammato. Bella fregatura.

La soluzione =E8 una sola: usare un programma di posta che non interpreti
l'HTML e non tenti automaticamente di caricare eventuali immagini annidate
nei messaggi.


7/5/2003
__Programmi di posta "sicuri"__

Comprensibilmente, l'idea che basti una riga di codice HTML per mandare in
crash Internet Explorer, Frontpage e soprattutto Outlook, come accennavo
nella newsletter precedente (2003-36), non =E8 piaciuta molto, per cui sono
arrivate varie richieste di sapere quali programmi di posta alternativi si
possono usare per evitare questo problema, e se vi sono programmi che
visualizzano la posta HTML senza interpretarla e senza caricare eventuali
"web bug" (microimmagini nascoste usate per tracciarvi).

Sotto Linux, ci sono programmi come Kmail che permettono di disattivare
l'interpretazione dei codici HTML, e ci sono tutti i programmi "classici"
per l'e-mail, come pine, elm e compagnia bella in modalit=E0 non grafica. I
pi=F9 esperti potranno anche installare filtri a monte che rimuovono tutto
l'HTML dai messaggi, lasciando soltanto il testo puro e semplice. Ma non
tutti possono permettersi di passare a Linux, per cui sarebbe gradita
qualche soluzione anche per gli utenti Windows.

Sono sicuro che ci sono molti programmi di posta per Windows che permettono
di disabilitare HTML e immagini, ma non li conosco abbastanza da poterli
consigliare con sicurezza, a parte l'impagabile e robustissimo PopCorn
(http://www.ultrafunk.com/products/popcorn), che non visualizza immagini e
non esegue codici HTML. Mi parlano tutti molto bene di Pegasus
(http://www.pmail.com).

Un programma che invece uso da tempo immemorabile e che quindi posso
raccomandare in fatto di sicurezza =E8 Eudora (http://www.eudora.com), che =E8
gratuito e senza pubblicit=E0 nella versione "light". Ho usato per anni la
3.0.6, e recentemente ho installato la 5.2, che offre parecchie funzioni
comode in pi=F9.

(Nota personale: se vi state chiedendo come mai io, "apostolo di Linux"
come mi hanno definito, uso tuttora Eudora, che =E8 un programma per Windows,
la risposta =E8 semplice: sulle mie macchine convivono Linux e Windows e uso
l'uno o l'altro secondo convenienza. Ho un archivio di anni di posta
preziosa gestito con Eudora, e non ho ancora trovato un programma Linux che
mi garantisca di poter importare affidabilmente quest'archivio. Per cui
resto fedele a Eudora per la posta. Questo non vuol dire che debba per
forza usare Windows: grazie a Wine e CrossOver, Eudora pu=F2 girare anche
sotto Linux).

Eudora 3.0.6 =E8 freeware e ancora facilmente reperibile in Rete, e per sua
natura =E8 immune alle trappole dell'HTML. E' abbastanza furbo da ignorare i
codici HTML presenti nei messaggi e visualizzarne soltanto il testo. Non =E8
capace di visualizzare immagini, per cui non c'=E8 pericolo di finire vittima
di web bug. Usare un programma cos=EC vecchio =E8 paradossalmente una nota
tecnica di sicurezza: si chiama "security through obsolescence", ossia
"sicurezza tramite obsolescenza", o se preferite una traduzione pi=F9
schietta, "quello che non c'=E8 non si pu=F2 rompere".

Se invece volete una versione di Eudora un po' pi=F9 moderna, la 5.2 richiede
alcune modifiche per renderla sicura. La prima =E8 disattivare l'uso di
Internet Explorer per visualizzare i messaggi HTML (Tools > Options >
Viewing Mail e disattivare "Use Microsoft's Viewer"). In questo modo Eudora
usa un proprio visualizzatore per mostrare i messaggi HTML e non interpella
Internet Explorer, tenendovi al riparo dalle sue vulnerabilit=E0. Nella
stessa finestra, disattivate anche "Allow executables in HTML content", in
modo che Eudora non esegua eventuali istruzioni Javascript o ActiveX
annidate nei messaggi, che sono un'altra nota fonte di infezione e di
attacco.

Per i Web bug, invece, basta assicurarsi che sotto Tools > Options >
Display sia disattivato "Automatically download HTML graphics": questo dice
a Eudora di non scaricare dalla Rete eventuali immagini linkate (non
direttamente annidate) nei messaggi.

Un altro metodo anti-web bug suggerito da alcuni lettori consiste nello
scaricare la posta e scollegarsi da Internet prima di leggerla: in questo
modo, il programma di posta non pu=F2 materialmente accedere a Internet per
ricevere la microimmagine e quindi confermare allo spammer la vostra
esistenza. E' un consiglio molto pratico per chi si collega via modem, ma
non per chi ha connessioni permanenti (ADSL, Fastweb e simili): staccare e
riattaccare in continuazione il cavo di rete non =E8 salutare e oltretutto in
certe configurazioni interrompe anche l'accesso alla rete locale oltre che
a Internet.