18
Dec 09

Ajatuksia HTML-sähköpostista

Olen tänään yrittänyt muodostaa mielipidettä HTML-muotoillusta sähköpostista. Tähän on kaksi syytä. Ensimmäinen on se, että lueskelin vähän aikaa sitten uutta kotimaista kirjallisuutta, joka opastaa keskivertokaupustelijaa massasähköpostituksen jalossa taidossa. Toinen on se, että tänään tuli ilmi tapaus, jossa tärkeät sähköpostiviestit olivat jääneet spämmifiltteriin, syynä ilmeisesti ainakin osaksi se, että ne sisälsivät HTML-muotoilua.

Sähköpostimarkkinoijan käsikirjan mukaan HTML-sähköpostit ovat hyvä juttu: niiden avulle uutiskirjeestä voi tehdä yritysilmeen mukaisen, ja viesti menee paremmin perille.

Kirjassa kerrotaan myös, että lähettämällä viestien mukana kuvia saadaan tarkkaa seurantatietoa siitä, minkä sähköpostiosoitteiden omistajat todella lukevat kyseisen viestin: jos viesti edes vilahtaa sähköpostiohjelman esikatselussa, ohjelma hakee automaattisesti kuvan tiedot viestin lähettäjän palvelimelta, jolloin seurantatieto tallentuu palvelimelle.

Jälkimmäisessä kikassa on pieni ongelma: sen avulla spämmääjät saavat helposti tiedon siitä, että jokin sähköpostiosoite on olemassa ja sitä luetaan, ja voivat kohdentaa roskapostitulvaansa tehokkaammin.

Vielä kuvia haitallisempia ovat tietysti erilaiset lisäkikkareet javascriptistä flashiin. Noheva sähköpostiohjelma osaa tosin suodattaa moiset pois, mutta kiero spämmääjä saattaa keksiä tapoja kiertää suodatuksen.

Linkitkin voivat HTML-sähköpostissa olla petollisia, linkkitekstinä kun voi olla URL mutta linkin kohteena jokin aivan muu kuin URLissa mainittu sivusto. Tällaisilla systeemeillä on helppo tehdä Phishing-hyökkäyksiä. Useimmat sähköpostiohjelmat osaavat tosin nykyisin varoittaa moisista.

Myös mobiililukijan kannalta HTML-sähköpostit voivat olla ikäviä, sillä ne vievät huomattavasti plain text -tiedostoja enemmän levytilaa ja kaistaa, mutta nykyisin useimmat lähettäjät taitavat sentään käyttää multipart-metodia, josta sähköpostittajan käsikirjakin mainitsee. Sen avulla viestin mukana lähtee kevyt plain text -versio, jolloin mobiililaite voi aina ladata oletuksena sen.

Ongelmia kuitenkin selvästi on. Kannattaisiko siis kaikki HTML-muotoiltu posti ohjata suoraan spämmifiltteriin? Houkutteleva ajatus: suuri osa itselle tulevasta oikeasti tärkeästä sähköpostista ei ole HTML-muotoiltua. Uutiskirjeet ja muut turhuudet puhdistuisivat postilaatikosta. Moni sähköpostiähkyn kanssa kamppaileva tietotyöläinen arvostaisi varmasti tällaista ominaisuutta. Sähköpostimarkkinoijan käsikirjan kirjoittajat eivät ajatuksesta pitäisi, mutta heidän kirjansa onkin tarkoitettu lähinnä niille tahoille, joilta vain harva todella haluaa saada sähköpostia.

Tällä hetkellä moisen suodatuksen estää sama syy, joka sai kirjoituksen alussa mainitsemassani tapauksessa karhulaskun toisensa perään jäämään filtterin haaviin: monet sähköpostiohjelmat, kuten Microsoftin Outlook, lähettävät mieluusti oletuksena viestin HTML-muodossa, vaikka viestin kirjoittaja ei kyseistä ominaisuutta kaipaisikaan. Esimerkin tapauksessa tosin syy haaviinjäämiseen saattoi HTML:n lisäksi olla se, että viestissä mainittiin raha, minkä eräät filtterit tulkitsevat epäilyttäväksi merkiksi… :)

Toisaalta HTML-sähköposteissa on paljon hyvääkin. Niiden avulla viesteistä saa selkeämpiä ja visuaalisesti hienompia, ja olennaisinta sisältöä on helpompi korostaa. Tällaisista viesteistä on hyötyä myös lukijalle: visuaalisen ilmeen perusteella on helpompi hahmottaa nopeasti, mitä tahoa lähettäjä edustaa, olennaisen voi lukea viestistä nopeammin ja onhan kaunis asettelu tietysti ilo silmälle.

Esimerkkinä hyvästä HTML:n käytöstä mainittakoon vaikkapa LinkedIn -palvelun lähettämät viestit, jotka ovat minusta informatiivisia ja tyylikkäitä (vaikka sisältävätkin turhaan kuvia muutaman ikonin muodossa). HTML tuo selkeästi niihin lisäarvoa.

Muodostin lopulta oman mielipiteeni asiasta: HTML-sähköpostit voivat olla hyvä asia, mutta tietyin rajoituksin. Parasta olisi, jos sähköpostiohjelmat käyttäisivät Chris Newmanin kuvailemaa “white listia”, eli hyväksyisivät vain tietyt “turvalliset” tägit. Tämä lieneekin suuntaus jatkossa.

Spämmifiltteriin joutaisivat automaattisesti viestit, joissa on turhaa tauhkaa, ja tauhkaksi laskisin myös kuvat. Näin Outlookilla epähuomiossa HTML-muodossa lähetetyt viestit pääsisivät läpi, mutta turha uutiskirjespämmi jäisi suodattimeen.

Jäikö tässä kirjoituksessa huomiotta oleellinen pointti HTML-sähköpostin puolesta tai sitä vastaan? Jos jäi, kuulen siitä mielelläni esimerkiksi kommenteissa.


29
Jul 09

Tietoturva: mitä vähemmän, sen parempi

ReadWriteWeb kirjoitti tänään Facebook-applikaatioiden tietoturvapolitiikoista, tai pikemminkin niiden puutteesta. Social Hacking -blogin selvitys aiheesta osoitti, että kolmasosalla Facebookin 25 suosituimmasta applikaatiosta joko ei ollut ollenkaan tietoturvapolitiikkaa tai sitten linkki siihen tarjottiin käyttäjälle vasta tämän jo asennettua applikaation. RWW päivitteli tulosta ja vaati, että Facebook pakottaisi applikaatiot laittamaan tietoturvaan liittyvän dokumentaation näkyvästi esille.

Kirjoituksesta johtui mieleeni hiljattain tehty tutkimus, josta pomoni mainitsi eilen. Siinä kaksi verrokkiryhmää käytti samaa palvelua, johon talletettiin henkilökohtaisia tietoja. Erona ryhmien välillä oli, että toiselle ryhmälle kerrottiin näyttävästi, kuinka ehdottoman hyvää huolta heidän tiedoistaan palvelussa pidetään. Toiselle ryhmälle tietoturvasta ei mainittu sanallakaan. Lopputulos? Ryhmä, jolle tietoturvasta oli kerrottu, oli huomattavasti varovaisempi tallettaessaan tietojaan ja käyttäessään palvelua – koska käyttäjät tulivat ajatelleeksi tietoturvaa vasta, kun siitä oli puhe, ja tällöin huolestuivat.

Tutkimuksen tekijöiden mukaan Facebook ja muut vastaavat palvelut tiedostavat varsin hyvin tutkimuksessa havaitut seikat. Siksi ne piilottavat tietoturvapolitiikat niin kauas valikkoviidakkoon kuin suinkin laki sallii. Näin käyttäjät eivät tule ikinä kyseisiä dokumentteja lukeneeksi, eivätkä siis ajattele koko asiaa, vaan syöttävät iloisina palveluihin yhteystietonsa ja kännikuvansa.

Pitäisikö tästä kaikesta sitten olla huolestunut? Minusta ei. Ylipäänsä olen sitä mieltä, että tietoturvasta hössötetään aivan liikaa, ja useissa tapauksissa moinen hössötys lähinnä estää uudistusten tapahtumisen. Jos Facebook olisi välittänyt tietoturvasta yhtä paljon kuin sen kriitikoiden mielestä olisi syytä, se ei olisi menestynyt yhtä hyvin. Linus Torvalds muotoili taannoin mielipiteensä tietoturvaintoilijoista vielä astetta kärjekkäämmin.

En oikein ymmärrä, mitä se salainen tieto on, jota niin kovasti halutaan suojella. Yleensä sellaiseksi mainitaan esimerkiksi yhteystiedot. Mutta nyt kuitenkin on niin, että ihmisillä on yhteystiedot, koska he haluavat, että muut voivat ottaa heihin yhteyttä! Jos näitä tietoja pitää kovin tarkasti suojella, yhteydenotto vaikeutuu.

Minua ainakaan ei pelota hirveästi, että epämääräinen taho saisi tietoonsa osoitteeni ja puhelinnumeroni. Mitä se niillä tekisi? Aina välillä uutisoidaan, kuinka rikolliset voivat esimerkiksi avata pankkitilejä Facebookista kähvelletyillä tiedoilla. En pysty ymmärtämään miten moinen käytännössä tapahtuu. Ainakin Suomessa pankkitilin avaaminen vaatii muutakin kuin osoitteen ja puhelinnumeron kertomisen, esimerkiksi kuvallisen henkilöllisyystodistuksen esittämisen, ja sitä ei Facebookista saa.

Suurin huolenaiheeni lienee sähköpostiosoitteen joutuminen spämmerien käsiin. Eikä sekään vielä maailmaa kaada: ainakin Gmailin spämmifiltterit toimivat nykyisin varsin tehokkaasti, joten roskapostista ei tarvitse juurikaan huolehtia.

Törmäsin tänään myös vastakkaiseen esimerkkiin suhtautumisessa tietoturvaan. Kyseessä on itse asiassa toista asiaa, nettikeskustelujen tasoa, käsittelevä, sinänsä itsessäänkin varsin hupaisa artikkeli. Huomioni kiinnittyi kuitenkin erityisesti kirjoittajan vastineeseen järjestyksessä toiseen artikkelin saamista kommenteista. Kommentoija epäili kirjoittajan itsensä piiloutuvan myös nimimerkin taakse, johon tämä vastasi postaamalla kommenttiin paitsi osoitteensa ja puhelinnumeronsa myös henkilötunnuksensa! Moinen kuulostaa jo minustakin aika riskialttiilta toiminnalta. Toisaalta, eipä sillä henkilötunnuksellakaan taida vielä loppujen lopuksi ns. hämäräperäinen taho paljoa tehdä.

Summa summarum: tietoturva on minusta jossakin määrin tärkeä asia, muttei ollenkaan niin tärkeä kuin se, että meillä ylipäänsä on käytössämme erilaisia hienoja palveluita, jotka hauskuttavat meitä tai helpottavat elämäämme. Mitä vähemmän tietoturvan kanssa joutuu olemaan tekemisissä, sen parempi. Heti huomenna voisinkin piilottaa Kassin käyttöehdot visusti valikkoviidakon taakse.

Mutta älkäätte huolestuko, Kassin käyttäjät. Lupaan, että tiedoistanne pidetään palvelussa erinomaisen hyvää huolta.