Salvaguardare le vostre e-mail con una rigorosa politica di sicurezza dei contenuti

La politica di sicurezza dei contenuti di Tuta mira a prevenire gli attacchi XSS. Perché la sicurezza va oltre la crittografia del maggior numero di dati possibile.

Padlock symbolizing encryption of data.

In Tuta Mail diamo priorità alla sicurezza e alla privacy degli utenti e costruiamo un servizio di cui si fidano milioni di persone in tutto il mondo. Per ottenere la migliore sicurezza della categoria, utilizziamo una rigorosa CSP (Content Security Policy), un sanificatore HTML per mostrare contenuti sconosciuti nelle e-mail, per prevenire gli attacchi cross-site-scripting (XSS) e per bloccare il caricamento di contenuti esterni per impostazione predefinita. Ma cosa significa esattamente per voi?


L’e-mail, il moderno mezzo di comunicazione di cui nessuno può fare a meno, è molto comodo perché ci permette di contattare rapidamente chiunque nel mondo per iniziare una conversazione. Tuttavia, la comodità della posta elettronica è accompagnata dalla minaccia incombente di attacchi informatici, in particolare di attacchi cross-site-scripting (XSS), che possono compromettere la sicurezza della casella di posta e delle informazioni personali. Questi attacchi sono piuttosto comuni contro i servizi di posta elettronica tradizionali, a causa del modo in cui sono stati progettati. In Tuta la vostra sicurezza ha la massima priorità e abbiamo preso provvedimenti per proteggere tutti gli utenti di Tuta Mail da tali minacce. Grazie a una rigorosa politica di sicurezza dei contenuti (CSP) e all’implementazione di un sanificatore HTML, ci assicuriamo che la vostra casella di posta elettronica sia protetta da attacchi dannosi.

Cos’è la CSP e perché è necessaria?

La Content Security Policy (CSP) è uno standard di sicurezza che aiuta a prevenire gli attacchi dannosi, come gli attacchi cross-site scripting (XSS) e data injection. La CSP specifica chiaramente quali fonti di contenuto possono essere caricate quando si apre un’e-mail nel client web. La nostra implementazione di CSP svolge un ruolo cruciale nel garantire che solo i contenuti affidabili vengano visualizzati nella casella di posta elettronica, riducendo il rischio di esecuzione di codice dannoso. Una delle caratteristiche principali dell’implementazione CSP di Tuta Mail è il suo sanitizzatore HTML, che agisce come un solido meccanismo di difesa contro i contenuti potenzialmente dannosi incorporati nelle e-mail. Il sanitizzatore controlla le e-mail in arrivo alla ricerca di codici o script sospetti e li rimuove prima che possano costituire una minaccia per il dispositivo o i dati dell’utente.

Blocco dei contenuti esterni

Inoltre, Tuta Mail blocca i contenuti esterni, come immagini e video, che possono contenere codice dannoso o pixel per il tracciamento. Ciò significa anche che qualsiasi contenuto potenzialmente rischioso incluso nelle e-mail, come immagini o script ospitati in remoto, viene bloccato per impostazione predefinita, riducendo in modo significativo la probabilità di attacchi XSS. Ma cosa succede se si ricevono contenuti legittimi da mittenti affidabili? Tuta Mail consente naturalmente di caricare manualmente i contenuti esterni, se ci si fida del mittente. Questo può essere fatto facilmente con un semplice clic nell’e-mail, e la decisione può anche essere ricordata per le e-mail future. Queste informazioni vengono memorizzate nella cache del browser e, finché la cache non viene cancellata, i contenuti esterni delle e-mail attendibili verranno caricati automaticamente in futuro. Questo approccio intuitivo consente di prendere decisioni informate sui contenuti con cui si sceglie di interagire, senza compromettere la sicurezza.

Screenshot einer Tuta-E-Mail, die externe Inhalte blockiert, mit der Frage, ob Sie die Bilder "Anzeigen", "Absender immer vertrauen" oder "Absender immer blockieren" möchten." Screenshot einer Tuta-E-Mail, die externe Inhalte blockiert, mit der Frage, ob Sie die Bilder "Anzeigen", "Absender immer vertrauen" oder "Absender immer blockieren" möchten." Schermata di un’e-mail Tuta che blocca i contenuti esterni e che chiede se si desidera “Mostrare” le immagini, “Fidarsi sempre del mittente” o “Bloccare sempre il mittente”.

Nessun tracciamento

Ovviamente, Tuta non vi traccia quando utilizzate le vostre e-mail, i vostri calendari o i vostri contatti privati. Inoltre, non solo blocchiamo il caricamento di contenuti esterni nelle e-mail per motivi di sicurezza, ma anche per impedire qualsiasi tipo di tracciamento. Quando si ricevono immagini o video via e-mail, spesso questi contengono pixel, ad esempio quelli delle agenzie di marketing. Bloccare questi contenuti è fondamentale perché le e-mail sono lo strumento preferito dagli inserzionisti che cercano di tracciare l’utente e le sue abitudini online su più piattaforme.

Gli addetti al marketing amano le e-mail perché possono includere pixel di tracciamento incorporando contenuti esterni che devono essere caricati da server di terze parti. Tramite questi pixel, possono sapere se avete aperto un’e-mail, quando lo avete fatto, se avete cliccato su qualche link incluso nell’e-mail e altro ancora.

Se un client di posta elettronica carica di default contenuti esterni come immagini o video, senza chiedere il consenso degli utenti, questi pixel di tracciamento vengono caricati insieme agli altri dati. Questo è un altro motivo per cui Tuta Mail blocca il caricamento di contenuti esterni.

La sicurezza prima di tutto

Sin dal lancio di Tutanota nel 2014, il primo servizio di posta elettronica crittografata Ende-zu-Ende, ci siamo concentrati sulla sicurezza.

La nostra solida sicurezza comprende molte misure:

Con tutte queste misure, ci assicuriamo che Tuta Mail sia il provider di posta elettronica più sicuro. Quando si tratta di proteggere la vostra casella di posta elettronica da attacchi dannosi, Tuta Mail è la scelta migliore e gode della fiducia di milioni di persone. Grazie al suo costante impegno nell’implementazione di misure di sicurezza all’avanguardia, gli utenti possono essere certi che le loro e-mail siano protette da attacchi XSS e altre minacce informatiche.

Per ulteriori informazioni sui nostri elevati standard di sicurezza, consultate la nostra pagina sulla sicurezza.