Rauf Aliev (rauf) wrote,
Rauf Aliev
rauf

Как вы думаете, считается…

Как вы думаете, считается ли проблемой безопасности при переходе по внешней ссылке из письма передача внешнему скрипту е-майл адреса владельца ящика? То есть, вот зашел я к себе в почту mail.ru, нажал на рекламном письме на обезличенную ссылку (вида http://www.domain.ru), а система уже знает, что тот, кто к ним перешел, это arauf@mail.ru. Или это в норме вещей?



По крайней мере на стороне сервера, на который перешли из письма, ловятся следующие HTTP_REFERER: «http://e.mail.ru/cgi-bin/link?check=1&refresh=1&cnf=3398eb&url=http%3A%2F%2Fdomain.ru%2F&msgid=13721740200000000426;0,1&x-email=arauf%40mail.ru&js=1&redir=1

HTTP_USER_AGENT=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36.



(Я понимаю, что ссылку можно сделать индивидуальной для каждого получателя письма и тогда и без такой схемы можно будет понять, кто на нее нажал. Но в общем случае, когда ссылка не похожа на трекинговую?)



IMHO использовать телефоны, фамилии, емайл и прочую идентифицирующию пользователя аттрибутику в URL нельзя. А внешние ссылки из почты вообще нужно оборачивать промежуточными чекерами — хотя бы для того, чтобы фильтровать спам в реальном времени. Может, так оно и есть? Почему тогда е-майл в HTTP_REFERER?


Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments