On 05/22/18 02:32, Pavel Ruzicka wrote:
Co mi u efail neni uplne jasne (ale mozna jen proto ze jsem nad tim dostatecne dlouho nepremyslel) zda jde do odchoziho HTTP pozadavku zakomponovat vysledek neceho co se behem renderovani HTML mailu spustilo na strane klienta (ne jen obsah puvodni zpravy). Napr. v Thunderbird se afaik Javascript pochazejici ze zpravy nespusti. Mozna pres nejaka ta "zverstva" s CSS ktera se provedou driv nez se email klient pokusi stahnout ten obrazek.
Co som cital z toho paperu a rozlicnych PoC na twitteri apod., tak javascript neni mozne pouzit (tj. nevidel som, ze by sa to niekomu podarilo, ale tiez to 100% neviem vylucit, email klienti su strasne zloziti, si myslim, ze tam chyb moze byt viac).
Co som videl, tak pouzili CSS background, <a link>/<a rel>, niekde tusim na githube som videl zoznam tagov, ktore to triggeruju, ale teraz to neviem najst. Ale bolo ich celkom dost (radovo cca 50+). Ale javascript som medzi nimi nevidel.
Dalsia vec, co limituje ten utok, ze prakticky ma URL nejaky limit, takze to odreze zaciatok spravy.
OM