瀏覽器的漏洞和惡意腳本程序?qū)е铝薱ookie信息的泄漏，與cookie信息泄漏不同，URL會話信息被泄漏，則是完全出在HTTP協(xié)議上，除非修改HTTP協(xié)議。雖然RFC2616里指出referer域是敏感信息（Sensitive Information），建議瀏覽器提供友好界面讓用戶能夠允許或禁用傳輸敏感信息域，不過目前尚未有哪一家瀏覽器提供了這樣的功能界面。

　　可見，無論是cookie會話跟蹤還是URL會話跟蹤，都存在著不少的安全問題，所以WebMail系統(tǒng)有必要采取措施加強會話安全：

　　(1) 靈活使用會話跟蹤技術(shù)：客戶端支持cookie時，使用相對比較安全的臨時型cookie會話跟蹤機制，否則，使用URL會話跟蹤，JSP等開發(fā)程序能很容易做到這一點。

　　(2) 結(jié)合多種會話跟蹤技術(shù)：同時結(jié)合cookie、URL會話跟蹤技術(shù)進行會話跟蹤，大大增加攻擊者難度。

　　(3) 跟客戶端IP地址相結(jié)合：21cn.com、qmail的sqWebMail等WebMail系統(tǒng)，就是把當前會話與客戶端IP地址結(jié)合在一起來加強安全的。

　　(4) 合理設(shè)置會話超時時間：在一定時間內(nèi)客戶端沒有連接請求則認為會話超時（timeout）。太短了，給用戶帶來不便；太長了，給攻擊者帶來方便。

　　七、WebMail其他安全

　　如果用戶在WebMail里設(shè)置了自動回復，攻擊者利用這一點，在另一個郵箱里也設(shè)置自動回復，并發(fā)一封郵件給用戶，那么郵件很快就會塞滿用戶的郵箱，迫使用戶不得不取消自動回復，所以，良好的自動回復策略應該是在一定時間內(nèi)來自同一郵件地址的第二封郵件不應該被自動回復。

　　攻擊者還會在郵件附件中夾帶病毒、木馬等惡性程序來攻擊用戶的電腦，甚至用來竊取WebMail密碼，所以，對于不明郵件，用戶不要奢望那是攻瑰和情書，在對附件進行病毒查殺之前，不要輕易打開它的附件。

　　為了防止垃圾郵件，WebMail系統(tǒng)應有良好的反垃圾郵件功能，一是系統(tǒng)級的垃圾郵件過濾，對一些被投訴和列入反垃圾郵件組織黑名單的郵件地址進行過濾，二是用戶級的垃圾郵件過濾，使WebMail用戶可以定制自己的郵件過濾規(guī)則，拒絕不受歡迎的郵件，免受垃圾郵件的困擾。

　　使用一些嗅探監(jiān)聽程序，攻擊者甚至不需要很高深的專業(yè)知識，就能很輕易地嗅探監(jiān)聽到用戶WebMail的密碼、郵件內(nèi)容等。有一個叫“密碼監(jiān)聽器”的黑客程序，幾乎能監(jiān)聽到國內(nèi)所有免費郵箱的密碼。所以，WebMail系統(tǒng)有必要支持SSI，對瀏覽器與服務(wù)器之間傳輸?shù)臄?shù)據(jù)進行加密，防止被嗅探監(jiān)聽。

　　一些WebMail系統(tǒng)支持數(shù)字簽名和數(shù)字加密，在WebMail內(nèi)可以導入基于公鑰加密機制（如CA認證中心頒發(fā)的數(shù)字證書）產(chǎn)生的公私密鑰對，能有效地保證郵件的保密性、完整性和不可抵賴性，不過，鑒于WebMail在其他方面的安全問題，一旦攻擊者侵入用戶的WebMail，用戶反而得不償失，甚至會導致私鑰的泄漏。

　　WebMail系統(tǒng)程序上的漏洞也值得關(guān)注，如IMHO WebMail遠程帳戶劫持漏洞、BasiliX WebMail遠程任意文件泄露漏洞、W3Mail WebMail執(zhí)行任意命令漏洞等，甚至21cn.com都曾有過重要路徑泄漏漏洞。

　　從上面我們可以看到，WebMail的安全問題不容樂觀，如果要較好地解決它，一方面要增強WebMail系統(tǒng)的安全性，另一方面則依賴于用戶對WebMail的正確使用，這些在上面都有討論，在此就不贅述。如果用戶在正確使用WebMail后仍然存在安全問題，那么剩下的，就是去選擇一個好的郵件服務(wù)商，或者通過郵件客戶端軟件來收發(fā)郵件，不過，使用outlook等郵件客戶端軟件又會引發(fā)其它的安全問題，例如愛蟲、求職信等病毒就是利用outlook的漏洞來擴散傳播和危害用戶的。