Hotmail em risco aos ladrões do bolinho

Os usuários de MSN Hotmail, guardam seus bolinhos. Uma técnica simples para alcançar o serviço do E-mail de Microsoft livre sem uma senha está no selvagem e é explorada aparentemente.

O truque envolve capturar uma cópia da lima dos bolinhos do browser da vítima. Uma vez que o perpetrator ganha dois bolinhos chaves de Hotmail, não há nenhuma maneira travá-lo para fora porque em Hotmail, o trump dos bolinhos nivela senhas.

“O que é scary sobre este é que uma vez tem seus bolinhos, eles têm seu cliente para sempre. Mesmo se você mudar sua senha, podem imóvel começar dentro,” disse Eric Glover, - Jersey - um programador baseado novo que tenha um doctorate na informática da universidade de Michigan.

Glover disse-o unearthed o problema do bolinho de Hotmail quando a saliência anterior de um amigo começou alcançar o cliente de Hotmail do amigo -- e continuado a usar o cliente mesmo após o pal mudou repetidamente sua senha.

Após ter estudado o processo sign-on de Hotmail, Glover concliu que o gerente snoopy tinha agarrado uma cópia dos bolinhos de Hotmail do computador do trabalho do amigo ou de uma fita adesiva alternativa e os tem usado provavelmente destravar digital seu cliente do correio da correia fotorreceptora.

Os oficiais de Microsoft disseram quinta-feira que o serviço de Hotmail oferece a usuários diversas ferramentas ao limite o que os termos da companhia “bolinho-baseados replay ataques” mas adicionou que Microsoft “está olhando sempre maneiras proteger mais mais usuários, as well as lhes dar mais controle sobre sua experiência em linha.”

Os peritos da segurança, entretanto, disseram hoje que o vulnerability de Hotmail expõe os riscos de confiar em bolinhos do browser como as chaves digitais aos locais de Internet.

Bolinhos, os arquivos de dados pequenos colocados no computador de um usuário do Internet quando visitar Web site, for usado primeiramente identificar visitantes com a finalidade de customizing o índice tal como anunciar. Mas muitos locais, including Hotmail, confiam também em bolinhos para umas finalidades mais sérias do authentication.

Para tais locais, o bolinho é akin a um cartão de operação bancária do ATM que não requeira também o suporte fornecer uma senha. Perder o “cartão” e você pode dar acima sua segurança.

Os “bolinhos foram projetados nunca ser um mecanismo do authentication. Mas qualquer um que tenta desdobrar uma aplicação da correia fotorreceptora hoje não tem realmente muita escolha,” disse o Marc Slemko, um perito Seattle-baseado da segurança que descubra previamente problemas bolinho-relacionados da segurança no serviço do Passport de Microsoft.

Sem acesso físico a um PC, como grande um obstáculo está roubando bolinhos de Hotmail? “Trivial,” disse Slemko, que indicou anos há como as falhas scripting do cruz-local podem ser exploradas para executar ataques tais como pilfering bolinhos.

O que é mais, os erros da segurança no Internet Explorer fazem roubar um usuário remoto de seus bolinhos de Hotmail uma pressão, de acordo com Thor Larholm, um programador dinamarquês e um specialist da segurança que compile uma lista das falhas do browser do IE, muitas de que reservam bolinho-arrebatar façanhas.

“Eu diria que as possibilidades cotidianas de um programador malicioso com sucesso em roubar os bolinhos do alvo se encontram entre muito fácil e fácil,” disse Larholm, anotando que os bolinhos do browser são unencrypted armazenado e em uma posição fixa.

De acordo com Slemko, a maioria de locais que confiam em bolinhos para authenticate usuários -- including bancos em linha, agências corretoras, e locais do e-comércio -- projetar tipicamente o símbolo expirar depois que os usuários foram entrados e inativos por alguns minutos.

Mas em um esforço aparente impulsionar a conveniência para seus usuários, Hotmail permite que os usuários façam seus bolinhos do authentication praticamente permanentes.

A história continuou na página 2 “