|
Translated has no connection with the authors of this page and is not responsible for its content.
View original page |
Lingobot Home
|
| What you are seeing is the cache version of a page that has been translated automatically | ||
Anmerkung: Du liest diese Anzeige irgendein, weil du nicht unsere css Akten sehen kannst (gedient von Lygo, ein lycos Bildservice, aus Leistung Gründen) oder weil du nicht eine Standard-gefällige Datenbanksuchroutine hast. Unsere Designanmerkungen für Details lesen.
Durch Brian McWilliams
|
Auch durch diesen Reporter
MSN Hotmail Benutzer, schützen deine Plätzchen. Eine einfache Technik für das Zugänglich machen des Services E-mail Microsofts frei ohne ein Kennwort ist im wilden und anscheinend genutzt aus.
Der Trick bezieht mit ein, eine Kopie der Datenbanksuchroutine-Plätzchenakte des Opfers gefangenzunehmen. Sobald der Täter zwei SchlüsselHotmail Plätzchen gewinnt, gibt es keine Weise, ihn heraus zu verriegeln, weil bei Hotmail, Plätzchen-Trumpf Kennwörter glätten.
„Was über dieses furchtsam ist, daß einmal sie deine Plätzchen haben, sie haben dein Konto für immer ist. Selbst wenn du dein Kennwort änderst, können sie ruhig,“ sagte Eric Glover, einen neuen - Jersey - gegründeten Programmierer innen erhalten, der ein Doktorat in der Informatik von der Universität von Michigan hat.
Glover sagte, daß er das Hotmail Plätzchenproblem ausgrub, als der ehemalige Chef eines Freunds anfing, das Konto Hotmail des Freunds zugänglich zu machen -- und fortgefahren, das Konto sogar nach dem Kameraden änderte zu verwenden wiederholt ihr Kennwort.
Nachdem er Hotmails Bereitschaftsprozeß studiert hatte, stellte Glover fest, daß der snoopy Manager wahrscheinlich hatte eine Kopie der Hotmail Plätzchen vom Computer Arbeit des Freunds oder von einem Unterstützungsklebeband ergriffen und hatte sie benutzt, um ihr Netzpostkonto digital zu entriegeln.
Microsoft Beamte sagten Donnerstag, daß der Hotmail Service Benutzern einige Werkzeuge Begrenzung anbietet, was die Plätzchen-gegründeten Firmabezeichnungen „Angriffe“ replay, aber hinzufügte, daß Microsoft „immer Weisen betrachtet, Benutzer weiter zu schützen, sowie das Geben ihnen von von mehr Steuerung über ihrer on-line-Erfahrung.“
Sicherheit Experten sagten jedoch heute, daß die Hotmail Verwundbarkeit die Gefahren des Bauens auf Datenbanksuchroutineplätzchen als die digitalen Schlüssel Internet-Aufstellungsorten aussetzt.
Plätzchen, die kleinen Dateien gesetzt auf den Computer eines Internet-Benutzers, wenn das Besichtigen von von Web site, hauptsächlich verwendet werden, um Besucher mit dem Ziel das Besonders anfertigen des Inhalts wie Annoncieren zu kennzeichnen. Aber viele Aufstellungsorte, einschließlich Hotmail, beruhen auch auf Plätzchen zu den ernsteren Authentisierung Zwecken.
Für solche Aufstellungsorte ist das Plätzchen einer ATM Scheckkarte entsprechend, die nicht auch den Halter erfordert, ein Kennwort zur Verfügung zu stellen. Die „Karte“ verlieren und du kannst deine Sicherheit oben geben.
„Plätzchen waren nie entworfen, um eine Authentisierung Einheit zu sein. Aber niemand, das versucht, eine Netzanwendung zu entfalten heute, nicht hat wirklich viel Wahl,“ sagte Treber Slemko, ein Seattle-gegründeter Sicherheit Experte, der vorher Plätzchen-in Verbindung stehende Sicherheit Probleme am Paßservice Microsofts entdeckt hat.
Ohne körperlichen Zugang zu einem PC, wie groß stiehlt eine Hürde Hotmail Plätzchen? Unterstrich vor, „trivial,“, sagte Slemko, das Jahren wie Kreuzaufstellungsort scripting Fehler ausgenutzt werden können, um Angriffe wie Stehlen der Plätzchen durchzuführen.
Was mehr ist, bilden Sicherheit Wanzen im Internet Explorer das Berauben eines Remotebenutzers seiner Hotmail Plätzchen ein Schnäpper, entsprechend Thor Larholm, ein dänischer Programmierer und ein Sicherheit Fachmann, der eine Liste der IE Datenbanksuchroutinefehler kompiliert hat, von denen viele Großtaten Plätzchen-schnappen dürfen.
„Ich würde, daß die Alltagswahrscheinlichkeiten eines böswilligen Programmierers an die Plätzchen des Ziels erfolgreich stehlen zwischen sehr einfachem und einfach liegen,“ sagte Larholm sagen und merken würde, daß Datenbanksuchroutineplätzchen und in einer örtlich festgelegten Position gespeichertes unencrypted sind.
Entsprechend Slemko die meisten Aufstellungsorte, die auf Plätzchen beruhen, um Benutzer zu beglaubigen -- einschließlich on-line-Bänke, Maklertätigkeiten und Ehandel Aufstellungsorte -- das Zeichen gewöhnlich entwerfen, um abzulaufen, nachdem Benutzer angemeldet und für einige Minuten unaktiviert gewesen sind.
Aber in einer offensichtlichen Bemühung, Bequemlichkeit für seine Benutzer aufzuladen, erlaubt Hotmail Benutzern, ihre Authentisierung Plätzchen praktisch dauerhaft zu bilden.
Geschichte fuhr auf Seite 2 „fort
![[Haus]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_index.gif)
![[Technologie]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_technology_on.gif)
![[Kultur]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_culture.gif)
![[Politik]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_politics.gif)
![[Spalten]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_columns.gif)
![[Leitung Dienstleistungen]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_wires.gif)
![[Blogs]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_blog.gif)
![[Verdrahtete Zeitschrift]](http://ly.lygo.com/ly/wired/shared/images/cs4/nav_mag.gif)
![[Druckgeschichte]](http://ly.lygo.com/ly/wired/shared/images/common/storytools_print.gif "Version dieser Geschichte optimiert für den Druck"){kind=small}
![[E-mail Geschichte]](http://ly.lygo.com/ly/wired/shared/images/common/storytools_mail.gif "E-mail diese Geschichte zu einem Freund"){kind=small}
![[Rants + Raves]](http://ly.lygo.com/ly/wired/shared/images/common/storytools_rantsrave.gif "Ansicht kommentiert über diese Geschichte"){kind=small}
Seite 1 von 2 
Rants u. Raves ein
Anmerkung: Du liest diese Anzeige irgendein, weil du nicht unsere css Akten sehen kannst oder weil du nicht eine Standard-gefällige Datenbanksuchroutine hast. Unsere Designanmerkungen für Details lesen.