安全漏洞大,无密码也可进免费邮箱
减小字体
增大字体近日,计算机安全专家发现,只要一点点小技术,不需要输入密码也可以进入到微软的免费邮件系统Hotmail之中!
其实这项技术的神奇之处就在于你的浏览器中的cookie文件。一旦那些别有用心的人掌握了Hotmail发到你机器上2个关键的cookie,他们就可以自由进入你的Hotmail账户,因为在Hotmail的cookie中包含一切重要信息,甚至是你的密码。
老板利用cookie长期偷窥下属Hotmail邮件
目前在新泽西州一家公司当程序员的密执安州大学计算机科学系博士艾里克?格洛瓦,不久前从一个朋友的口中听说了Hotmail的这个cookie问题。那位朋友的前任老板一直偷偷进入他的Hotmail邮箱查看他的私人邮件。虽然他后来改了无数次密码,可是他的老板依然可以自由进出。无奈之下,他惟有向艾里克?格洛瓦请教这究竟是怎么一回事。
格洛瓦仔细分析研究了Hotmail的登陆过程发现,那位偷窥欲特强的老板极有可能从他朋友的机器里把Hotmail发出的cookie给复制了一份到自己的机器上去,然后就用这些cookie打开了她的Web邮箱。
偷到cookie很难吗?
Cookie,又称“小甜饼”,只要稍有网络常识的人对它一定不感到陌生。当你访问某个网站的时候,该网站的服务器就会发送一个大约1K的文本文件到你的计算机中,这个文件就是Cookie。cookie储存的这些数据通常是用来确认网站访问者的身份,以便为用户度身定制一些特定的内容,比如广告之类的。但是从另一台计算机窃取他人机器里cookie的方法十分简单。此外,IE浏览器中的安全漏洞也让黑客们搞到远程计算机里的cookie如探囊取物一般容易。
Hotmail的好心
斯莱姆科说,许多网站都依靠cookie确认用户的身份???其中包括网上银行、经纪业务电子商务和网上邮局网站???只是为了保证用户的信息不被他人恶意利用,在很多情况下这些cookie中的信息在用户登录网站几分钟之后,此信息就会失效。
但是Hotmail不同。用户们可以选择一种让cookie永不失效的方式登录,即在登录的时候选择“除非我退出,否则请保持我登录到该站点以及其他.NETPassport站点的状态”一项。很显然,这么做的目的是为了让用户使用Hotmail更为方便,省得他们每次登录的时候都要输入密码。
此时,Hotmail会往用户的硬盘上写入大约六到七个cookie文件,其中有两个cookie名为“MSPAuth”和“MSPProf”,这两个cookie相当关键,如果黑客们得到了它们并安放在自己机器中,每次登录的时候Hotmail网站就不会出现提示输入密码的画面,他们也可以和你一样直接进入你Hotmail账户内部收发阅读信件,甚至更改你的个人资料!
解决的方法
那么,Hotmail用户就真的没有办法躲过cookie窃贼的窥伺了吗?办法当然还是有的。那就是关掉“保持登录状态”选项,并且在离开Hotmail邮箱的时候别忘了按照微软的提议点击“退出”按钮。
针对此事,4月23日微软官方称,这种安全漏洞术语叫作“基于cookie的重现式攻击”(cookie-basedreplayattacks),目前Hotmail免费邮件服务已经给用户提供了几个工具,可以对上述攻击予以限制。
但是格洛瓦认为,Hotmail用户想要改变长久以来养成的坏习惯可不是件容易的事情。
Tags:安全,漏洞,密码,也可,免费,邮箱
·[图文]微软提供免费的Live Messenger表情
·免费搜索引擎登陆入口大全(雅虎中国分类目录登陆)
·遭遇密码丢失 教你如何进行破解
·巧妙设置QQ密码气死嚣张木马
·DDoS防范和全局网络安全的应对
·[组图]黑白照片也可呈现酷酷色彩
·[组图]韩星素描,你也可以
·[组图]生活照也可以很艺术
·雅虎对360安全卫士的自杀式攻击程序-附验证录像
·安全专家:Vista安全模块PatchGuard一年内被黑客攻破
·青少年如何安全使用QQ 青少年,安全,使用,QQ [QQ安全]
·[图文]QQ病毒的克星---QQAV的下载使用 QQ病毒,克星,QQAV,下载...
·上一篇文章:安全概念及思路
·下一篇文章:美黑客老大大改行写小说 大公司定为反恐必读书
· 查找 安全漏洞大,无密码也可进免费邮箱 相关下载
· 查找 安全漏洞大,无密码也可进免费邮箱 相关下载
查找相关:安全,漏洞,密码,也可,免费,邮箱
其实这项技术的神奇之处就在于你的浏览器中的cookie文件。一旦那些别有用心的人掌握了Hotmail发到你机器上2个关键的cookie,他们就可以自由进入你的Hotmail账户,因为在Hotmail的cookie中包含一切重要信息,甚至是你的密码。
老板利用cookie长期偷窥下属Hotmail邮件
目前在新泽西州一家公司当程序员的密执安州大学计算机科学系博士艾里克?格洛瓦,不久前从一个朋友的口中听说了Hotmail的这个cookie问题。那位朋友的前任老板一直偷偷进入他的Hotmail邮箱查看他的私人邮件。虽然他后来改了无数次密码,可是他的老板依然可以自由进出。无奈之下,他惟有向艾里克?格洛瓦请教这究竟是怎么一回事。
格洛瓦仔细分析研究了Hotmail的登陆过程发现,那位偷窥欲特强的老板极有可能从他朋友的机器里把Hotmail发出的cookie给复制了一份到自己的机器上去,然后就用这些cookie打开了她的Web邮箱。
偷到cookie很难吗?
Cookie,又称“小甜饼”,只要稍有网络常识的人对它一定不感到陌生。当你访问某个网站的时候,该网站的服务器就会发送一个大约1K的文本文件到你的计算机中,这个文件就是Cookie。cookie储存的这些数据通常是用来确认网站访问者的身份,以便为用户度身定制一些特定的内容,比如广告之类的。但是从另一台计算机窃取他人机器里cookie的方法十分简单。此外,IE浏览器中的安全漏洞也让黑客们搞到远程计算机里的cookie如探囊取物一般容易。
Hotmail的好心
斯莱姆科说,许多网站都依靠cookie确认用户的身份???其中包括网上银行、经纪业务电子商务和网上邮局网站???只是为了保证用户的信息不被他人恶意利用,在很多情况下这些cookie中的信息在用户登录网站几分钟之后,此信息就会失效。
但是Hotmail不同。用户们可以选择一种让cookie永不失效的方式登录,即在登录的时候选择“除非我退出,否则请保持我登录到该站点以及其他.NETPassport站点的状态”一项。很显然,这么做的目的是为了让用户使用Hotmail更为方便,省得他们每次登录的时候都要输入密码。
此时,Hotmail会往用户的硬盘上写入大约六到七个cookie文件,其中有两个cookie名为“MSPAuth”和“MSPProf”,这两个cookie相当关键,如果黑客们得到了它们并安放在自己机器中,每次登录的时候Hotmail网站就不会出现提示输入密码的画面,他们也可以和你一样直接进入你Hotmail账户内部收发阅读信件,甚至更改你的个人资料!
解决的方法
那么,Hotmail用户就真的没有办法躲过cookie窃贼的窥伺了吗?办法当然还是有的。那就是关掉“保持登录状态”选项,并且在离开Hotmail邮箱的时候别忘了按照微软的提议点击“退出”按钮。
针对此事,4月23日微软官方称,这种安全漏洞术语叫作“基于cookie的重现式攻击”(cookie-basedreplayattacks),目前Hotmail免费邮件服务已经给用户提供了几个工具,可以对上述攻击予以限制。
但是格洛瓦认为,Hotmail用户想要改变长久以来养成的坏习惯可不是件容易的事情。
Tags:安全,漏洞,密码,也可,免费,邮箱
评论内容只代表网友观点,与本站立场无关!
评论人:小强 打分:85 分 发表时间:2006-12-20 15:27:36
· 红叶工作是个大骗子,不得好死,骗了钱可以买棺材了!qq好是56341141
评论人:红叶工作室骗子 打分:100 分 发表时间:2006-11-24 12:47:17
· 红叶工作室QQ56341141是个骗子,TMD,请大家不要相信,IP是湖南省长沙市电信61.187.125.254<未知...
· 红叶工作是个大骗子,不得好死,骗了钱可以买棺材了!qq好是56341141
评论人:红叶工作室骗子 打分:100 分 发表时间:2006-11-24 12:47:17
· 红叶工作室QQ56341141是个骗子,TMD,请大家不要相信,IP是湖南省长沙市电信61.187.125.254<未知...