Защита ваших электронных писем с помощью строгой политики безопасности контента

Политика безопасности контента Tuta направлена на предотвращение XSS-атак. Ведь безопасность - это нечто большее, чем шифрование как можно большего количества данных.

Padlock symbolizing encryption of data.

В Tuta Mail мы ставим во главу угла вашу безопасность и конфиденциальность и создаем сервис, которому доверяют миллионы людей по всему миру. Для достижения лучшей в своем классе безопасности мы используем строгую политику CSP (Content Security Policy), HTML-санитара для отображения неизвестного контента в письмах, чтобы предотвратить межсайтовые атаки (XSS), и блокируем загрузку внешнего контента по умолчанию. Но что именно это значит для вас?


Электронная почта - современный способ связи, без которого не может обо йтись ни один человек, - очень удобна, поскольку позволяет быстро связаться с любым человеком в мире и начать разговор. Однако вместе с удобством электронной почты возникает угроза кибератак, в частности атак с использованием межсайтовых скриптов (XSS), которые могут поставить под угрозу безопасность вашего почтового ящика и личной информации. Такие атаки довольно часто происходят с традиционными почтовыми сервисами из-за того, как устроена электронная почта. В Tuta ваша безопасность имеет наивысший приоритет, и мы приняли меры, чтобы защитить всех пользователей Tuta Mail от подобных угроз. Благодаря строгой политике безопасности содержимого (CSP) и применению средства очистки HTML мы гарантируем, что ваш почтовый ящик будет защищен от вредоносных атак.

Что такое CSP и зачем она нужна?

Политика безопасности содержимого (CSP) - это стандарт безопасности, который помогает предотвратить вредоносные атаки, такие как межсайтовый скриптинг (XSS) и атаки с внедрением данных. CSP четко определяет, какие источники контента разрешено загружать при открытии письма в веб-клиенте. Наша реализация CSP играет решающую роль в обеспечении отображения в почтовом ящике только доверенного содержимого, снижая риск выполнения вредоносного кода. Одной из ключевых особенностей реализации CSP в Tuta Mail является HTML-санитара, который действует как надежный механизм защиты от потенциально опасного содержимого, встроенного в электронные письма. Он проверяет входящие письма на наличие подозрительного кода или скриптов и удаляет их до того, как они могут представлять угрозу для устройства или данных пользователя.

Блокировка внешнего контента

Кроме того, Tuta Mail блокирует внешний контент, например изображения и видео, которые также могут содержать вредоносный код или пиксели для отслеживания. Это также означает, что любой потенциально опасный контент, включенный в электронные письма, например удаленно размещенные изображения или скрипты, блокируется по умолчанию, что значительно снижает вероятность XSS-атак. Но что делать, если вы получаете легитимное содержимое от надежных отправителей? Конечно, Tuta Mail позволяет загружать внешнее содержимое вручную - если вы доверяете отправителю. Это можно сделать простым щелчком мыши в письме, и решение также может быть запомнено для будущих писем. Эта информация сохраняется в кэше браузера, поэтому до тех пор, пока кэш не очищен, внешнее содержимое в доверенных письмах будет автоматически загружаться в будущем. Такой интуитивный подход позволяет вам принимать взвешенные решения относительно контента, с которым вы хотите взаимодействовать, без ущерба для безопасности.

Screenshot of a Tuta email that blocks external content asking whether you want to "Show" the images, "Always trust sender" or "Always block sender." Скриншот письма Tuta, блокирующего внешний контент, с вопросом о том, хотите ли вы “Показать” изображения, “Всегда доверять отправителю” или “Всегда блокировать отправителя”.

Отсутствие слежки

Очевидно, что Tuta не отслеживает вас при использовании вашей личной электронной почты, календарей или контактов. Кроме того, мы блокируем загрузку внешнего контента в электронные письма не только из соображений безопасности, но и для предотвращения любого вида слежки. Когда вы получаете по электронной почте изображения или видео, они часто содержат пиксели, например, от маркетинговых агентств. Блокировка такого контента крайне важна, поскольку электронная почта - излюбленный инструмент рекламодателей, которые пытаются отслеживать вас и ваши привычки в Интернете на разных платформах.

Маркетологи любят электронную почту, поскольку они могут включать пиксели отслеживания, встраивая внешний контент, который нужно загружать со сторонних серверов. С помощью этих пикселей они могут узнать, открывали ли вы письмо, когда вы это сделали, перешли ли вы по ссылкам, содержащимся в письме, и многое другое.

Если почтовый клиент загружает внешний контент, например изображения или видео, по умолчанию, не спрашивая согласия пользователя, эти пиксели отслеживания загружаются вместе с другими данными. Это еще одна причина, по которой Tuta Mail блокирует загрузку внешнего контента.

Безопасность превыше всего

С момента запуска Tutanota в 2014 году, первого сервиса электронной почты со сквозным шифрованием, мы уделяем особое внимание безопасности.

Наша надежная защита включает в себя множество мер:

Благодаря всем этим мерам мы уверены, что Tuta Mail - самый безопасный почтовый провайдер. Когда речь идет о защите вашего почтового ящика от вредоносных атак, Tuta Mail - лучший выбор, которому доверяют миллионы. Благодаря неизменному стремлению к внедрению передовых мер безопасности пользователи могут быть уверены, что их электронная почта защищена от XSS-атак и других киберугроз.

Более подробную информацию о наших высоких стандартах безопасности вы можете найти на нашей странице безопасности.