Hotmail en danger aux voleurs de biscuit

Les utilisateurs de MSN Hotmail, gardent vos biscuits. Une technique simple pour accéder au service de l'E-mail de Microsoft librement sans mot de passe est dans le sauvage et apparemment est exploitée.

Le tour implique de capturer une copie du dossier de biscuits du navigateur de la victime. Une fois que le malfaiteur gagne deux biscuits principaux de Hotmail, il n'y a aucune manière de le fermer à clef dehors parce que chez Hotmail, l'atout de biscuits égalisent des mots de passe.

« Ce qui est effrayant à ce sujet est qu'une fois elles ont vos biscuits, ils ont votre compte pour toujours. Même si vous changez votre mot de passe, ils peuvent immobile entrer, » a dit Eric Glover, un New Jersey - le programmeur basé qui a un doctorat dans de l'informatique de l'université du Michigan.

Glover l'a indiqué non relié à la terre le problème de biscuit de Hotmail quand l'ancien patron d'un ami a démarré accéder au compte de Hotmail de l'ami -- et continué à employer le compte même après pal a à plusieurs reprises changé son mot de passe.

Après avoir étudié le processus sign-on de Hotmail, Glover a conclu que le directeur snoopy probablement avait saisi une copie des biscuits de Hotmail de l'ordinateur du travail de l'ami ou d'une bande de secours et les avait l'habitude pour ouvrir digitalement son compte de courrier de Web.

Les fonctionnaires de Microsoft ont déclaré jeudi que le service de Hotmail offre à des utilisateurs plusieurs outils à la limite ce qui les termes de compagnie « biscuit-basés rejouent des attaques » mais a ajouté que Microsoft « regarde toujours des manières de protéger des utilisateurs plus loin, aussi bien que leur donner plus de contrôle de leur expérience en ligne. »

Les experts en matière de sécurité, cependant, ont dit aujourd'hui que la vulnérabilité de Hotmail expose les risques de compter sur des biscuits de navigateur comme clefs numériques aux sites Internet.

Biscuits, les petits fichiers de données placés sur l'ordinateur d'un utilisateur d'Internet quand visiter des sites Web, sont principalement employés pour identifier des visiteurs afin d'adapter le contenu aux besoins du client tel que la publicité. Mais beaucoup d'emplacements, y compris Hotmail, se fondent également sur des biscuits pour une authentification plus sérieuse.

Pour de tels emplacements, le biscuit est apparenté à une carte d'opérations bancaires d'atmosphère qui n'exige pas également du support de fournir un mot de passe. Perdre la « carte » et vous pouvez renoncer à votre sécurité.

Des « biscuits n'ont été jamais conçus pour être un mécanisme d'authentification. Mais n'importe qui qui essaye de déployer une application de Web aujourd'hui n'a pas vraiment beaucoup de choix, » a dit le marc Slemko, un expert en matière Seattle-basé de sécurité qui a précédemment découvert des problèmes biscuit-connexes de sécurité au service du passeport de Microsoft.

Est-ce que sans accès physique à un PC, combien grand un obstacle vole des biscuits de Hotmail ? « Insignifiant, » a dit Slemko, qui a précisé il y a des années comment des pailles scripting de croix-emplacement peuvent être exploitées pour effectuer des attaques telles que chaparder des biscuits.

Ce qui est plus, les bogues de sécurité dans l'Internet Explorer font voler un utilisateur à distance ses biscuits de Hotmail une rupture, selon Thor Larholm, un programmeur danois et un spécialiste en sécurité qui a compilé une liste de pailles de navigateur d'IE, beaucoup dont laisser biscuit-saisir des exploits.

« Je dirais que les chances de jour en jour d'un programmeur malveillant à voler avec succès les biscuits de la cible se trouvent entre très facile et facile, » ai dit Larholm, notant que les biscuits de navigateur sont non codés stocké et dans un endroit fixe.

Selon Slemko, la plupart des emplacements qui se fondent sur des biscuits pour authentifier des utilisateurs -- y compris les banques en ligne, les courtages, et les emplacements d'e-commerce -- concevoir typiquement la marque pour expirer après que les utilisateurs aient été entrés et inactifs pendant quelques minutes.

Mais dans un effort apparent d'amplifier la convenance pour ses utilisateurs, Hotmail permet à des utilisateurs de rendre leurs biscuits d'authentification pratiquement permanents.

L'histoire a continué à la page 2 «