ITnews 版 (精华区)

发信人: Bacchus (干，干，干！), 信区: ITnews
标  题: Cookie又惹祸 Hotmail安全漏洞致用户密码泄漏
发信站: 哈工大紫丁香 (2002年05月06日17:21:23 星期一), 站内信件

----
http://www.sina.com.cn 2002年05月06日 16:44 赛迪网
　　【赛迪网讯 吉纳】近日，计算机安全专家斯莱姆科称，由于Hotmail存在安全漏洞
可导致用户密码被盗，其实问题就出在浏览器中的cookie文件上。
　　该安全专家表示，一旦那些别有用心的人掌握了Hotmail发送到计算机上的两个关键
的cookie，他们就可以自由地进入Hotmail账户，因为在Hotmail的cookie中包含一切重
要信息，包括用户密码。
　　斯莱姆科说：“多数情况下，这些cookie中的信息在用户登录网站几分钟之后便会
自动消失，但是Hotmail却不同，用户们可以选择一种让cookie永不失效的方式登录，即
在登录的时候选择“除非我退出，否则请保持我登录到该站点以及其它.NETPassport站
点的状态”一项。
　　很显然，这么做的目的是为了让用户使用Hotmail更为方便，省得他们每次登录的时
候都要输入密码。但此时，Hotmail会往用户的硬盘上写入大约6-7个cookie文件，其中
有两个cookie相当关键，如果黑客们得到了它们并安放在自己机器中，每次登录的时候
Hotmail网站就不会出现提示输入密码的画面，他们也可以和你一样直接进入你Hotmail
账户内部收发阅读信件，甚至更改用户个人资料。
　　目前，Hotmail免费邮件服务已经给用户提供了几个工具，可以对上述攻击予以限制
。
　　(责任编辑：yliang)

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.239.143]