HTTPS漏洞泄漏微軟賬戶個人信息

時間:2015-10-07 13:34:17來源:作者:一大口我要評論 用手機看

掃描二維碼隨身看資訊

使用手機 二維碼應(yīng)用 掃描右側(cè)二維碼,您可以
1. 在手機上細細品讀~
2. 分享給您的微信好友或朋友圈~

HTTPS連接通常可以為用戶帶來一定程度的私密性和安全性,但是據(jù)透露,當(dāng)用戶使用HTTPS連接到他們的微軟用戶帳戶頁面Outlook.com或者OneDrive.com的時候,連接泄漏了唯一標(biāo)識,可用于檢索用戶姓名和個人資料照片明文。
HTTPS漏洞泄漏微軟賬戶個人信息
 

該漏洞最早由北京一位博主發(fā)現(xiàn),然后經(jīng)過Ars Technica測試確認。他們表示,捕獲連接Outlook.com 或者OneDrive.com Windows帳戶頁面的數(shù)據(jù)包,可以顯示主機對DNS查詢請求,格式為cid- [用戶的CID] .users.storage.live.com。測試還發(fā)現(xiàn),用于確保服務(wù)進程安全的傳輸層安全交換(SNI)的擴展數(shù)據(jù)當(dāng)中也包含了用戶的CID信息。

總之,這意味著,該CID可用于檢索用戶的頭像,并且也可以經(jīng)由OneDrive站點用于檢索用戶的帳戶顯示名稱。通過從微軟的Live服務(wù)與CID訪問元數(shù)據(jù),別人也可以檢索有關(guān)賬戶上次訪問和創(chuàng)建時間信息。相同的元數(shù)據(jù)可以曝光與Live日歷應(yīng)用程序相關(guān)信息,包括用戶位置信息。

HTTPS漏洞泄漏微軟賬戶個人信息
 

這類漏洞可能允許其他人使用CID作為一個跟蹤器,即使在用戶使用Tor網(wǎng)絡(luò)連接。從相同的IP地址的其它流量來關(guān)聯(lián)對象身份。盡管Tor等匿名網(wǎng)絡(luò)可以掩蓋來源點,但是一旦對方脫離Tor出口節(jié)點,CID信息可以識別對方身份。

微軟發(fā)言人告訴Ars Technica,該公司已經(jīng)意識到這個問題,并準(zhǔn)備進行修正。

HTTPS漏洞泄漏微軟賬戶個人信息

網(wǎng)友評論
圖文推薦

  • 百度殺毒怎么樣 百度殺毒軟件好嗎

    百度殺毒軟件好嗎?這是很多用戶在使用百度殺毒這款軟件之前的疑問,因為殺毒軟件實在太多,用戶有這樣的疑問也無可厚非,今天,小編就帶大家看看百度殺毒的一些特色吧,或許能夠解答用戶的疑問了!

  • 勒索病毒怎么清除 勒索病毒徹底清除方法

    很多用戶的電腦遭受了勒索病毒的侵入,那么要如何清除勒索病毒呢?接下來,小編就為大家?guī)砝账鞑《厩宄椒ㄒ约袄账鞑《厩宄ぞ?,感興趣的朋友可以來了解下。

  • 比特幣病毒怎么解決 比特幣病毒解決方法

    最近,很多朋友都被比特幣勒索病毒給刷屏了,黑客通過索要破解費用來獲取利益,那么,比特幣病毒怎么破解呢?接下來,小編就為大家?guī)肀忍貛挪《窘鉀Q方法。