«Горячая точка»
Все мы наслышаны о том, как опасно открывать вложения в письмах от сомнительных отправителей. А может ли навредить картинка из письма?
Красный крестик - это так называемое однопиксельное изображение. Достаточно удобная вещь во многих отношениях. В отзывчивом веб-дизайне однопиксельные картинки используются как временные заглушки в ожидании загрузки страницы. Большинство браузеров не поддерживают HTTP Client Hints, поэтому некоторые варианты с отзывчивыми изображениями ждут полной загрузки страницы, чтобы подсчитать актуальный размер картинок, а затем заменяют однопиксельные картинки нужными изображениями при помощи JavaScript.
Есть и еще одно применение однопиксельных картинок: их можно использовать в качестве картинок «по умолчанию». Если нужное изображение по каким-то причинам невозможно найти, в некоторых случаях лучше показать один прозрачный пиксель, чем выдавать «404 - Not Found», которая будет видна в браузерах как «сломанная картинка». Нужное изображение вы в любом случае не увидите, но профессиональнее будет не акцентировать на этом внимание, выдавая иконку «сломанной картинки».
https://habrahabr.ru/post/306210
Но есть у однопиксельных изображений и другие названия - пиксели отслеживания или веб-маячки. В простейшем случае мошенникам (или отделам маркетинга, отслеживающим эффективность своих рассылок) при скачивании полного изображения станут известны время открытия письма, IP-адрес и имя хоста, запросившего картинку.
Это уже ценная информация для спамеров - с ее помощью можно проверить актуальность почтового адреса. Но этим возможности пикселей отслеживания не ограничиваются. С их помощью можно определить операционную систему, получить файлы cookie и данные о почтовом клиенте получателя.
Внимательные читатели наших выпусков, прочитав цитату с Habrahabr, наверное, сразу споткнулись о слово JavaScript. Дело в том, что однопиксельная картинка - это не только ссылка на загрузку, но еще и JavaScript-код, изначально предназначенный для сбора данных о системе, в которой отображается картинка. Это нужно для того, чтобы, скажем, определить размер экрана и отмасштабировать изображение. Но если у мошенников есть возможность использовать JavaScript, значит, они могут собрать нужные данные, загрузить вредоносные файлы и т. д. - возможности огромны.
Еще одно название однопиксельных картинок - скрытые пиксели. Подобные картинки действительно могут быть размером в одну точку, прозрачными или в цвет фона - чтобы пользователи не заметили их. Вас уже исследуют, а вы - ни сном ни духом!
Пиксели отслеживания широко используются и на веб-сайтах. Причем для веб-сайтов пиксели отслеживания позволяют выполнять уникальные вещи.
Предположим, на сайте А размещена специальная картинка (возможно и прозрачная однопиксельная) с сайта Х, собирающего информацию. Затем, когда пользователь открывает сайт Б, на котором размещена та же самая картинка с сайта Х, браузер не загружает эту картинку, а берет ее из кэша. Таким образом, сайт Х узнает о том, что пользователь ранее посетил сайт А. Поэтому отключение кэширования увеличивает анонимность.
https://ru.wikibooks.org/wiki/Защита_конфиденциальных_данных_и_анонимность_в_интернете
А также всегда есть потенциальная опасность того, что, пока картинка находится на главной, сайт, с которого тянется эта картинка, может быть взломан только ради того, чтобы заменить картинку на скрипт.
https://habrahabr.ru/post/140054/
https://www.drweb.ru/pravda/issue/?number=313&lng=ru