幹壞事是進步最大的原動力
在「Don’t count on STARTTLS to automatically encrypt your sensitive e-mails」這邊提到了 STARTTLS 的問題,引用「Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security」這篇論文的說明。
SMTP 裡 STARTTLS 的設計雖然可以加密,但仲所皆知,可以阻擋 EHLO 回應結果避免建立 STARTTLS 連線,而讓發送端改用傳統未加密的 SMTP 傳輸。而研究發現其實目前就有大規模的這種監控行為:
可以看到突尼西亞的監控情況遠超過想像...
目前的想法是發展一套類似 HSTS 的 Trust on first use 設計,也許在這份報告出來後可以加速催生...
Slack 的新功能,可以寄信到 Slack 的 Channel 裡:「Email, meet Slack. Slack, email.」。
這個新功能限制在付費使用者才能使用:
Today we’re launching a new feature: all teams on the Standard or Plus plans can have email directed into Slack channels.
包括圖片也是可以顯示出來的:
這樣接起來更方便了...
在「“Invalid Username or Password”: a useless security measure」這篇文章裡談到了使用者登入錯誤時的提示訊息。
通常為了安全考量,「沒有這個帳號」與「密碼錯誤」,我們會給出一樣的錯誤訊息,避免攻擊者可以猜測。像是 Amazon 的畫面:
這樣設計的前提是讓攻擊者不知道這個帳號是不是存在 (如果不存在的話就換其他帳號繼續攻擊)。但這個假設通常是錯的,因為大多數的系統一個 e-mail 綁定一個帳號,所以註冊時就可以分辨:
因此應該提供正確的訊息,而非將資訊隱蔽起來。
在「What 22 Billion Newsletters Tell Us About Designing For Mobile Email」這篇討論現在電子報設計的環境。
首先是討論 table layout 而引用了 2013 年的數據:
可以看到行動平台的比率已經是主流了。在這種情況下是否還適合用 table layout 就變成問題了...
在文章後面有很多其他的數據以及討論,重點在於推導的過程,而非直接看文章的結論。要有能力透過數據分析。
Mailgun 公開了一份電子郵件範本,讓你可以在各種平台上面都正確顯示:「Transactional HTML Email Templates」。
公開的範本在 GitHub 上可以取得:「mailgun/transactional-email-templates」。
不過另外看到 Litmus 這個服務可以提供 Email previews,像是 Mailgun 這次放出來的測試可以在「TRANSACTIONAL EMAIL TEST」這邊看到,這個服務簡化了測試的過程...
AWS SES 多開了幾個點:「Two New Locations for Amazon Simple Email Service」。
看起來是針對這兩個 region 的 AWS 而設計的,不然以 e-mail 的性質是不太需要另外再開...