|
|
| 都是cookie惹的祸 Hotmail安全漏洞惊人 |
作者:未知
文章来源:www.jspcn.net
访问次数:508次
加入时间:2005年01月19日
|
|
都是cookie惹的祸 Hotmail安全漏洞惊人
本站提供 [2002-04-30]
近日,计算机安全专家发现,只要一点点小技术,不需要输入密码也可以进入到微软的免费邮件系统Hotmail之中!其实这项技术的神奇之处就在于你的浏览器中的cookie文件。
一旦那些别有用心的人掌握了Hotmail发到你机器上2个关键的cookie,他们就可以自由进入你的Hotmail账户,因为在Hotmail的cookie中包含一切重要信息,甚至是你的密码。
老板利用cookie长期偷窥下属Hotmail邮件
目前在新泽西州一家公司当程序员的密执安州大学计算机科学系博士艾里克.格洛瓦,不久前从一个朋友的口中听说了Hotmail的这个cookie问题。
那位朋友的前任老板一直偷偷进入他的Hotmail邮箱查看他的私人邮件。虽然他后来改了无数次密码,可是他的老板依然可以自由进出。无奈之下,他惟有向艾里克.格洛瓦请教这究竟是怎么一回事。格洛瓦仔细分析研究了Hotmail的登陆过程发现,那位偷窥欲特强的老板极有可能从他朋友的机器里把Hotmail发出的cookie给复制了一份到自己的机器上去,然后就用这些cookie打开了她的Web邮箱。
偷到cookie很难吗?
Cookie,又称“小甜饼”,只要稍有网络常识的人对它一定不感到陌生。当你访问某个网站的时候,该网站的服务器就会发送一个大约1K的文本文件到你的计算机中,这个文件就是Cookie。cookie储存的这些数据通常是用来确认网站访问者的身份,以便为用户度身定制一些特定的内容,比如广告之类的。但是从另一台计算机窃取他人机器里cookie的方法十分简单。此外,IE浏览器中的安全漏洞也让黑客们搞到远程计算机里的cookie如探囊取物一般容易。
Hotmail的好心
斯莱姆科说,许多网站都依靠cookie确认用户的身份???其中包括网上银行、经纪业务电子商务和网上邮局网站???只是为了保证用户的信息不被他人恶意利用,在很多情况下这些cookie中的信息在用户登录网站几分钟之后,此信息就会失效。但是Hotmail不同。用户们可以选择一种让cookie永不失效的方式登录,即在登录的时候选择“除非我退出,否则请保持我登录到该站点以及其他.NETPassport站点的状态”一项。很显然,这么做的目的是为了让用户使用Hotmail更为方便,省得他们每次登录的时候都要输入密码。此时,Hotmail会往用户的硬盘上写入大约六到七个cookie文件,其中有两个cookie名为“MSPAuth”和“MSPProf”,这两个cookie相当关键,如果黑客们得到了它们并安放在自己机器中,每次登录的时候Hotmail网站就不会出现提示输入密码的画面,他们也可以和你一样直接进入你Hotmail账户内部收发阅读信件,甚至更改你的个人资料!
解决的方法
那么,Hotmail用户就真的没有办法躲过cookie窃贼的窥伺了吗?办法当然还是有的。那就是关掉“保持登录状态”选项,并且在离开Hotmail邮箱的时候别忘了按照微软的提议点击“退出”按钮。针对此事,4月23日微软官方称,这种安全漏洞术语叫作“基于cookie的重现式攻击”(cookie-basedreplayattacks),目前Hotmail免费邮件服务已经给用户提供了几个工具,可以对上述攻击予以限制。但是格洛瓦认为,Hotmail用户想要改变长久以来养成的坏习惯可不是件容易的事情。
|
|
|
