设为首页收藏本站我的广告

运维网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
总共321条微博

每日一博

查看: 614|回复: 0

【站长推荐】HTTPS 漏洞泄漏微软账户个人信息【顶】

[复制链接]

该用户从未签到

totoonet 发表于 2015-10-8 13:30:28 | 显示全部楼层 |阅读模式
【重大新闻】 HTTPS连接通常可以为用户带来一定程度的私密性和安全性,但是据透露,当用户使用HTTPS连接到他们的微软用户帐户页面Outlook.com或者OneDrive.com的时候,连接泄漏了唯一标识,可用于检索用户姓名和个人资料照片明文。
该漏洞最早发现由北京一位博主发现,然后由Ars Technica测试确认。他们表示,捕获连接Outlook.com 或者OneDrive.com Windows帐户页面的数据包,可以显示主机对DNS查询请求,格式为cid- [用户的CID] .users.storage.live.com。测试还发现,用于确保服务进程安全的传输层安全交换(SNI)的扩展数据当中也包含了用户的CID信息。
总之,这意味着,该CID可用于检索用户的头像,并且也可以经由OneDrive站点用于检索用户的帐户显示名称。通过从微软的Live服务与CID访问元数据,别人也可以检索有关账户上次访问和创建时间信息。相同的元数据可以曝光与Live日历应用程序相关信息,包括用户位置信息。
这类漏洞可能允许其他人使用CID作为一个跟踪器,即使在用户使用Tor网络连接。从相同的IP地址的其它流量来关联对象身份。尽管Tor等匿名网络可以掩盖来源点,但是一旦对方脱离Tor出口节点,CID信息可以识别对方身份。
微软发言人告诉Ars Technica,该公司已经意识到这个问题,并准备进行修正。

microsoft-leaks-some-user-details-in-clear-text-493713-2.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-2.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-3.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-3.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-4.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-4.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-5.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-5.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-6.jpg

microsoft-leaks-some-user-details-in-clear-text-493713-6.jpg

转载自:cnbeta.com
源自:oschina
运维网 感谢您的阅读
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|申请友链|sitemap|手机版|小黑屋|Archiver|运维网 ( 京ICP备16008201号  

GMT+8, 2016-12-8 08:06 , Processed in 0.078165 second(s), 38 queries , Xcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表