Hotmail в опасности к похитителям Cookie

Потребители MSN Hotmail, защищают ваши cookies. Просто метод для достигать обслуживания и-мэйла Microsoft свободно без пароля находится в одичалом и явно эксплуатирован.

Выходка включает захватить экземпляр архива cookies браузера жертвы. Как только perpetrator приобретает 2 ключевых cookies Hotmail, не будет дороги зафиксировать его вне потому что на Hotmail, козырь cookies выравнивает пароли.

«Scary о этом будет что раз они имеет ваши cookies, они имейте ваш учет forever. Even if вы изменяете ваш пароль, они могут неподвижно получить внутри,» сказал Эрик Glover, новый - Джерси - основанный программник который имеет doctorate в компьутерных науках от университета Мичигана.

Glover сказало его unearthed проблема cookie Hotmail когда босс друга бывший начал достигнуть учета Hotmail друга -- и после того как я продолжен для использования учета even after pal повторно изменило ее пароль.

После изучать процесс Hotmail sign-on, Glover заключило что snoopy менеджер вероятн схватил экземпляр cookies Hotmail от компьютера работы друга или резервной ленты и использовал их цифрово для того чтобы открыть ее учет почты стержня.

Должностные лица Microsoft сказали четверг что обслуживание Hotmail предлагает потребителям несколько инструментов к пределу cookie-основанные термины компании «переигрывают нападения» но добавило что Microsoft «всегда смотрит дороги защитить потребителей более далее, также, как давать им больше управления над их online опытом.»

Специалисты обеспеченностью, однако, сказали сегодня что уязвимость Hotmail подвергает действию риски полагаться на cookies браузера как цифровые ключи к местам интернета.

Cookies, малые архивы данных помещенные на компьютере потребителя интернета когда посещение websites, главным образом использовано для того чтобы определить визитеров for the purpose of customizing содержание such as рекламировать. Но много мест, включая Hotmail, также полагаются на cookies для более серьезных целей authentication.

Для таких мест, cookie сродн к карточке банка ATM которая также не требует, что держатель подает пароль. Потеряйте «карточку» и вы можете дать вверх вашу обеспеченность.

«Cookies никогда не были конструированы для того чтобы быть механизмом authentication. Но любое пытаясь раскрыть применение стержня сегодня реально не имеет много выбор,» сказал Марк Slemko, Seattle-основанный специалиста обеспеченностью который ранее открывал cookie-родственные проблемы обеспеченностью на обслуживании пасспорта Microsoft.

Без физического доступа к пикокулону, как больш hurdle крадет cookies Hotmail? «Тривиально,» сказал Slemko, которое point out леты тому назад как рванины крест-места scripting можно эксплуатировать для того чтобы выполнить нападения such as воровать cookies.

Больше, черепашки обеспеченностью в исследователе интернета делают разбойничать дистанционного потребителя его cookies Hotmail кнопка, согласно Thor Larholm, датский программник и специалист по который составлял перечень рванины браузера IE, много обеспеченностью of which позвольте cookie-урвать подвиги.

«Я сказал бы что шансы злостого программника межсуточные на успешно красть cookies цели лежат между очень легкой и легко,» сказал Larholm, замечая что cookies браузера, котор хранят unencrypted и в фикчированном положении.

Согласно Slemko, большинств места которые полагаются на cookies для того чтобы authenticate потребители -- включая online крены, брокерства, и места e-коммерции -- типично конструируйте tokens для того чтобы терять силу после того как потребители log on и бездействующи на немного минут.

Но в явно усилии форсировать удобство для своих потребителей, Hotmail позволяет потребителям сделать их cookies authentication практически постоянной.

Рассказ продолжался на страница 2 «