荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: ethanwy (朽木儿), 信区: Internet
标 题: Hotmail安全漏洞大,无密码也可进免费邮箱
发信站: 荔园晨风BBS站 (Mon May 27 14:01:04 2002), 转信
近日,计算机安全专家发现,只要一点点小技术,不需要输入密码也可以进入到微
软的免费邮件系统Hotmail之中!
其实这项技术的神奇之处就在于你的浏览器中的cookie文件。一旦那些别有用心的
人掌握了Hotmail发到你机器上2个关键的cookie,他们就可以自由进入你的Hotmail账户
,因为在Hotmail的cookie中包含一切重要信息,甚至是你的密码。
老板利用cookie长期偷窥下属Hotmail邮件
目前在新泽西州一家公司当程序员的密执安州大学计算机科学系博士艾里克?格洛瓦
,不久前从一个朋友的口中听说了Hotmail的这个cookie问题。那位朋友的前任老板一直
偷偷进入他的Hotmail邮箱查看他的私人邮件。虽然他后来改了无数次密码,可是他的老
板依然可以自由进出。无奈之下,他惟有向艾里克?格洛瓦请教这究竟是怎么一回事。
格洛瓦仔细分析研究了Hotmail的登陆过程发现,那位偷窥欲特强的老板极有可能从
他朋友的机器里把Hotmail发出的cookie给复制了一份到自己的机器上去,然后就用这些
cookie打开了她的Web邮箱。
偷到cookie很难吗?
Cookie,又称“小甜饼”,只要稍有网络常识的人对它一定不感到陌生。当你访问
某个网站的时候,该网站的服务器就会发送一个大约1K的文本文件到你的计算机中,这
个文件就是Cookie。cookie储存的这些数据通常是用来确认网站访问者的身份,以便为
用户度身定制一些特定的内容,比如广告之类的。但是从另一台计算机窃取他人机器里
cookie的方法十分简单。此外,IE浏览器中的安全漏洞也让黑客们搞到远程计算机里的
cookie如探囊取物一般容易。
Hotmail的好心
斯莱姆科说,许多网站都依靠cookie确认用户的身份???其中包括网上银行、经纪业
务电子商务和网上邮局网站???只是为了保证用户的信息不被他人恶意利用,在很多情况
下这些cookie中的信息在用户登录网站几分钟之后,此信息就会失效。
但是Hotmail不同。用户们可以选择一种让cookie永不失效的方式登录,即在登录的
时候选择“除非我退出,否则请保持我登录到该站点以及其他.NETPassport站点的状态
”一项。很显然,这么做的目的是为了让用户使用Hotmail更为方便,省得他们每次登录
的时候都要输入密码。
此时,Hotmail会往用户的硬盘上写入大约六到七个cookie文件,其中有两个cooki
e名为“MSPAuth”和“MSPProf”,这两个cookie相当关键,如果黑客们得到了它们并安
放在自己机器中,每次登录的时候Hotmail网站就不会出现提示输入密码的画面,他们也
可以和你一样直接进入你Hotmail账户内部收发阅读信件,甚至更改你的个人资料!
解决的方法
那么,Hotmail用户就真的没有办法躲过cookie窃贼的窥伺了吗?办法当然还是有的
。那就是关掉“保持登录状态”选项,并且在离开Hotmail邮箱的时候别忘了按照微软的
提议点击“退出”按钮。
针对此事,4月23日微软官方称,这种安全漏洞术语叫作“基于cookie的重现式攻击
”(cookie-basedreplayattacks),目前Hotmail免费邮件服务已经给用户提供了几个工
具,可以对上述攻击予以限制。
但是格洛瓦认为,Hotmail用户想要改变长久以来养成的坏习惯可不是件容易的事情
。
--
有人这么说,网上的人,都是孤独的。
我这么说,我是因为上网而孤独了。
他这么说,本来我是孤独的,上网之后更孤独。
她这么说了,我本来很孤独,但是看到其他网人我才感到自己原来不孤独。
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 218.16.44.14]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店