安全漏洞大無需密碼進入信箱

tinjoe

新聞晚報 　2002-04-29 10:47:44


近日，電腦安全專家發現，只要一點點小技術，不需要輸入密碼也可以進入到微軟的免費郵件系統Hotmail之中！

　　其實這項技術的神奇之處就在於您的瀏覽器中的cookie檔案。一旦那些別有用心的人掌握了Hotmail發到您機器上2個關鍵的cookie，他們就可以自由進入您的Hotmail帳戶，因為在Hotmail的cookie中包含一切重要訊息，甚至是您的密碼。

　　老闆利用cookie長期偷窺下屬Hotmail郵件
　　目前在新澤西州一家公司當程式員的密執安州大學電腦科學系博士艾裡克‧格洛瓦，不久前從一個朋友的口中聽說了Hotmail的這個cookie問題。那位朋友的前任老闆一直偷偷進入他的Hotmail郵箱檢視他的私人郵件。雖然他後來改了無數次密碼，可是他的老闆依然可以自由進出。無奈之下，他惟有向艾裡克‧格洛瓦請教這究竟是怎麼一回事。

　　格洛瓦仔細分析研究了Hotmail的登錄過程發現，那位偷窺欲特強的老闆極有可能從他朋友的機器裡把Hotmail發出的cookie給複製了一份到自己的機器上去，然後就用這些cookie開啟了她的Web郵箱。

　　偷到cookie很難嗎？
　　Cookie，又稱「小甜餅」，只要稍有網路常識的人對它一定不感到陌生。當您訪問某個網站的時候，該網站的伺服器就會傳送一個大約1K的Text到您的電腦中，這個檔案就是Cookie。cookie儲存的這些資料通常是用來確認網站訪問者的身份，以便為使用者度身定製一些特定的內容，比如廣告之類的。但是從另一台電腦竊取他人機器裡cookie的方法十分簡單。此外，IE瀏覽器中的安全漏洞也讓駭客們搞到遠端電腦裡的cookie如探囊取物一般容易。

　　Hotmail的好心
　　斯萊姆科說，釵h網站都依靠cookie確認使用者的身份———其中包括網上銀行、經紀業務電子商務和網上郵局網站———只是為了保證使用者的訊息不被他人惡意利用，在很多情況下這些cookie中的訊息在使用者登錄網站幾分鐘之後，此訊息就會失效。

　　但是Hotmail不同。使用者們可以選擇一種讓cookie永不失效的方式登錄，即在登錄的時候選擇「除非我離開，否則請保持我登錄到該站台以及其它.NETPassport站台的狀態」一項。很顯然，這麼做的目的是為了讓使用者使用Hotmail更為方便，省得他們每次登錄的時候都要輸入密碼。

　　此時，Hotmail會往使用者的硬碟上寫入大約六到七個cookie檔案，其中有兩個cookie名為「MSPAuth」和「MSPProf」，這兩個cookie相當關鍵，如果駭客們得到了它們並安放在自己機器中，每次登錄的時候Hotmail網站就不會出現提示輸入密碼的畫面，他們也可以和您一樣直接進入您Hotmail帳戶內部收發嬝物H件，甚至更改您的個人資料！

　　解決的方法
　　那麼，Hotmail使用者就真的沒有辦法躲過cookie竊賊的窺伺了嗎？辦法當然還是有的。那就是關掉「保持登錄狀態」選項，並且在離開Hotmail郵箱的時候別忘了按照微軟的提議點擊「離開」按鈕。

　　針對此事，4月23日微軟官方稱，這種安全漏洞術語叫作「基於cookie的重現式攻擊」（cookie－basedreplayattacks），目前Hotmail免費郵件伺服器已經給使用者提供了幾個工具，可以對上述攻擊予以限製。

　　但是格洛瓦認為，Hotmail使用者想要改變長久以來養成的壞習慣可不是件容易的事情。