Bitcoin Forum

Local => Разное => Topic started by: Reiva on October 09, 2015, 07:38:32 AM


Title: Безопасность сайтов Microsoft оставляет желать л
Post by: Reiva on October 09, 2015, 07:38:32 AM
Безопасность сайтов Microsoft оставляет желать лучшего
https://xakep.ru/2015/10/08/cid-in-urls/
Блогер из Пекина, известный как ramen-hero, нашел интересный нюанс в работе онлайновых сервисов Microsoft, таких как Outlook.com и OneDrive.com. Хотя сервисы используют HTTPS, уникальный идентификатор любого пользователя можно заполучить без особых проблем.

Используя в качестве трибуны блог под названием Annoyed Microsoft User (Злой пользователь Microsoft), исследователь рассказал, что проблема заключается в уникальных идентификаторах CID. Каждому пользователю сервисов компании присваивается 64-битный числовой ID (вида 039827D56AE85E00), который API Microsoft используют для идентификации пользователя и ассоциации с аккаунтом. Проблема в том, что сервисы технологического гиганта отдают CID в виде обычного текста  в URL.

https://xakep.ru/wp-content/uploads/2015/10/P0.png

При работе с Outlook.com, OneDrive или при посещении страницы аккаунта  Microsoft (даже через HTTPS), CID отображается прямо в адресе URL. Это означает, что перехватить его может любой, кто имеет доступ к DNS-трафику, трафику пользователя или может перехватить TLS handshake. Если жертва использует Tor, CID виден на выходном узле. Если жертва использует прокси, CID обнаружит любой, у кого есть доступ к логам веб-трафика.

Зная CID пользователя, атакующий может узнать дату создания аккаунта Microsoft, ФИО владельца и увидеть его фото. Кроме того, настройки некоторых приложений (таких как «Календарь») доступны публично, а это означает, что хакер может вычислить и местонахождение жертвы. Трафик пользователей, связавших Skype с аккаунтом Microsoft, даже не нужно прослушивать. Достаточно знать имя аккаунта Microsoft, и CID можно получить через приложение People.

В заключение исследователь признает, что возможно его паранойя чересчур сильна, а уязвимость, на самом деле, пустяковая. Ramen-hero призвал всех тех, кого не устраивает подобное положение вещей, писать в Microsoft. Ведь компания с легкостью может исправить данную проблему и перестать демонстрировать ID своих пользователей всему интернету.

Title: Re: Безопасность сайтов Microsoft оставляет желать л
Post by: avdot on October 09, 2015, 07:48:20 AM
Майкрософт все вещи выпускает с дырками а потом успешно (но не сразу) их ликвидирует

Title: Re: Безопасность сайтов Microsoft оставляет желать л
Post by: CryptoDull on October 09, 2015, 10:54:17 AM
Quote from: avdot on October 09, 2015, 07:48:20 AM
Майкрософт все вещи выпускает с дырками а потом успешно (но не сразу) их ликвидирует
а дырочка то старая и это скорее даже дырень

Title: Re: Безопасность сайтов Microsoft оставляет желать л
Post by: iddqdidkfa on October 09, 2015, 01:41:53 PM
Я всегда говорил что у мелкомягких руки из *опы выросли. Ничего нормально сделать не могут сами.


Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines