Hotmail på riskerar till kakan stjäler

Användare för MSN Hotmail, bevakar dina kakor. En enkel teknik för att ta fram Microsoft e-post som är tjänste- utan ett lösenord, är fritt i det wild och exploateras som synes.

Lura gäller tillfångatagande en kopiera av victim'sens browserkakorna sparar. När perpetratoren når två nyckel- Hotmail kakor, det finns inget långt att låsa honom ut, därför att på Hotmail, kakatrumf even lösenord.

”Vad är läskig härom är, att de har en gång dina kakor, dem har ditt konto för alltid. Om även du ändrar ditt lösenord, de kan stilla får in,” sade Eric Glover, en New Jersey - baserad programmerare som har en doktorat i datavetenskap från universityen av Michigan.

Glover sade att han avslöjade det Hotmail kakaproblemet, när en vän gamla basar startat att ta fram vän det Hotmail kontot -- och fortsatt för att använda kontot även efter palen ändrade upprepade gånger her lösenord.

Når du har studerat sign-on Hotmails, bearbeta, Glover avslutade, att nyfikenchefen hade gripit troligen en kopiera av de Hotmail kakorna från vän arbetsdatoren eller en säkerhetskopia tejpar och hade använt dem digitalt för att låsa her rengöringsduk upp postar konto.

Microsoft representanter sade att torsdagen, som Hotmail de tjänste- erbjudandeanvändarena flera bearbetar för att begränsa vad företaget benämner ”detbaserade omspelet anfaller” men tillfogat, att Microsoft ”ser alltid väg att skydda användare vidare, as well as att ge dem kontrollerar mer över deras erfar direktanslutet.”,

Säkerhetsexperter, sade emellertid i dag att den Hotmail vulnerabilityen exponerar riskerar av relying på browserkakor, som det digitalt stämm till Internetplatser.

Kakor de små datafilerna som förläggas på en Internetanvändares dator, när de besöker websites, är i första hand van vid identifierar visitors för ämna av att skräddarsy som är nöjd liksom annonsering. Men många platser, inklusive Hotmail, rely också på kakor för allvarligare legitimation ämnar.

För sådan platser kakan är liknande till ett ATM-bankrörelsekort som inte kräver också hållaren att ge ett lösenord. Förlora ”kortet”, och du kan ge upp din säkerhet.

”Kakor planlades aldrig för att vara en legitimationsmekanism. Men någon som är pröva att utplacera en rengöringsdukapplikation i dag, har inte egentligen mycket val,” sade Marc Slemko, en sakkunnig Seattle-baserad säkerhet vem har föregående upptäckt kaka-släkta säkerhetsproblem på tjänste- Microsoft Passport.

Utan läkarundersökning ta fram till PC:n, hur stort en häck stjäler Hotmail kakor? ”Trivialt,”, sade Slemko, som pekade ut år sedan hur korsa-placera scripting skavanker kan exploateras för att utföra angrepp liksom snatterikakor.

Vad är mer, säkerhet buggar i Internet Explorer gör att råna en avlägsen användare av en hans Hotmail kakor ett plötsligt, enligt Thor Larholm, danskaprogrammerare och säkerhetsspecialist som har sammanställt en lista av IE-browserskavanker, många av som låter kaka-att snappa bedrifter.

”Jag skade något att säga som en daglig ondsint programmerare riskerar på lyckat att stjäla målets kakor ligger mellan mycket lätt, och lätt,”, sade Larholm som noterar att browserkakor är lagrat unencrypted och i ett fixat läge.

Enligt Slemko mest platser som rely på kakor för att legitimera användare -- packar ihop däribland direktanslutet, mäklararvoden och e-kommers platser -- planlägg typisk tokensen för att expire, efter användare har varit loggade in och inaktiva för fåtalminuter.

Men i ett påtagligt försök att öka bekvämlighet för dess användare, Hotmail låter användare göra deras legitimationskakor praktiskt permanent.

Story som fortsättas på sida 2 ”,