Hotmail安全漏洞

顯示結果從第 1 筆 到 4 筆,共計 4 筆
  1. #1
    會員 b0913 的大頭照
    註冊日期
    2001-09-22
    所在地區
    20M/5M
    討論區文章
    4,790

    Hotmail安全漏洞

    Hotmail安全漏洞

    只要一點點小技術﹐不需要輸入密碼也可以進入到微軟的免費郵件系統Hotmail之中!

    其實這項技術的神奇之處就在瀏覽器中的cookie檔。一旦那些別有用心的人掌握了Hotmail
    發到您機器上2個關鍵的cookie﹐就可以自由進入您的Hotmail帳戶﹐因為在Hotmail的cooki
    e中包含一切重要訊息﹐甚至是您的密碼。

    老闆利用cookie長期偷窺下屬Hotmail郵件

    在新澤西州一家公司當程式設計師的科學博士艾里克·格洛瓦﹐不久前從一個朋友的口中聽
    說了Hotmail的這個cookie問題。那位朋友的前任老闆一直偷偷進入他的Hotmail郵箱查看私
    人郵件。雖然他改了無數次密碼﹐可是他的老闆依然可以自由進出。無奈之下﹐他惟有向艾
    里克·格洛瓦請教這究竟是怎麼一回事。

    格洛瓦仔細分析研究了Hotmail的登入過程發現﹐那位偷窺慾特強的老闆極有可能從他朋友
    的機器里把Hotmail發出的cookie給複製了一份到自己的機器上去﹐然後就用這些cookie打
    開了他的Web郵箱。

    偷到cookie很難嗎?

    Cookie﹐又稱小餅乾﹐只要稍有網路常識的人對它一定不感到陌生。當進入某個網站的時候
    ﹐該網站的服務器就會發送一個大約1K的文件檔到電腦中﹐這個文件就是Cookie。Cookie儲
    存的這些數據通常是用來確認網站訪問者的身份﹐以便為用戶度身定製一些特定的內容﹐比
    如廣告之類的。但是從另一臺電腦竊取他人機器裡Cookie的方法十分簡單。此外﹐IE瀏覽器
    中的安全漏洞也讓Hacker們拿到遠端電腦裡的Cookie如探囊取物一般容易。

    Hotmail的好心

    許多網站都依靠Cookie確認用戶的身份───其中包括網上銀行、經紀業務電子商務和網上
    郵局網站───只是為了保證用戶的訊息不被他人惡意利用﹐在很多情況下這些Cookie中的
    訊息在用戶登錄網站幾分鐘之後﹐此訊息就會失效。

    但是Hotmail不同。用戶們可以選擇一種讓Cookie永不失效的方式登錄﹐即在登錄的時候選
    擇除非我退出﹐否則請保持我登錄到該站點以及其他.NETPassport網站的狀態一項。很顯然
    ﹐這麼做的目的是為了讓用戶使用Hotmail更為方便﹐省得每次登錄的時候都要輸入密碼。

    此時﹐Hotmail會往用戶的硬碟寫入大約六到七個cookie文件﹐其中有兩個cookie名為MSPAu
    th和MSPProf﹐這兩個Cookie相當關鍵﹐如果Hacker得到了它們並安放在自己電腦中﹐每次
    登錄的時候Hotmail網站就不會出現提示輸入密碼的畫面﹐他們也可以和您一樣直接進入您
    的Hotmail帳戶內部收發閱讀信件﹐甚至更改您的個人資料!

    Cookie-based replay attacks 解決的方法

    那麼﹐Hotmail用戶就真的沒有辦法躲過cookie竊賊的窺伺了嗎?

    辦法當然還是有的。那就是關掉保持登錄狀態選項﹐並且在離開Hotmail郵箱的時候別忘了
    按照微軟的提議點擊退出按鈕。

    但想要改變Hotmail用戶長久以來養成的壞習慣可不是件容易的事情。


    錦 瑟
    錦瑟無端五十絃,一絃一柱思華年。莊生曉夢迷蝴蝶,望帝春心託杜鵑。
    滄海月明珠有淚,藍田日暖玉生煙。此情可待成追憶?只是當時已惘然。

  2. #2
    -版兔阿浪- scarf 的大頭照
    註冊日期
    2002-01-23
    討論區文章
    1,765
    看來只要養好習慣就不會被人家趁虛而入了
    <script src="http://spacem.newspace.com.tw/usercounter/gcountLRH.asp?MyCount=scarf&CountID=116"></script>

  3. #3
    qqlian
    訪客
    請教一下:
    為什麼我在C:\WINDOWS\Cookies這個資料夾之下,找不到cookie名為MSPAuth和MSPProf,請問這是怎麼回事?麻煩指導一下,在哪裡才可以找得到這兩個Cookie?
    謝謝.

  4. #4
    pkk
    pkk 目前未上線
    會員
    註冊日期
    2001-11-12
    討論區文章
    253
    我也找不到你說的那二個檔

類似的主題

  1. 【轉貼】十大安全漏洞由NSFOCUS安全小組供網友參考
    作者:baba_yu 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 1
    最後發表: 2003-08-23, 12:44 PM
  2. 電腦的安全漏洞
    作者:joeacer 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 7
    最後發表: 2002-08-21, 10:55 PM
  3. AOL宣稱AIM安全漏洞已修復
    作者:Schnaufer 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 0
    最後發表: 2002-01-07, 06:38 PM
  4. 請教iis5.0安全漏洞
    作者:劍心 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 11
    最後發表: 2001-09-12, 09:50 AM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •