На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2000-5-11 на главную / новости от 2000-5-11
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 11 мая 2000 г.

В MS Hotmail обнаружена новая лазейка

Охотник за «клопами» нашел в Hotmail дыру, которая позволяет хакерам залезать в почтовые ящики пользователей и читать их письма.

Как сообщил веб-мастер Peacefire.org Беннетт Хейселтон (Bennett Haselton), пользователю можно послать письмо с HTML-вложением, при открытии которого хакеру будет передана копия cookie этого пользователя. Получив ее, тот может вставить эти данные в файл cookies.txt браузера Netscape и использовать их в качестве ключа идентификации для входа в Hotmail под именем пользователя. (Более подробное описание содержится здесь.)

В cookie не содержится пользовательский пароль, поэтому хакер может проникнуть только в тот почтовый ящик, который в данный момент открыт пользователем, и оставаться там до тех пор, пока не изменится код аутентификации. Однако, по словам Хейселтона, пяти минут вполне достаточно, если у хакера есть заранее подготовленный скрипт для скачивания всех сообщений из почтового ящика.

Для передачи cookie используется JavaScript. Hotmail отфильтровывает скрипты JavaScript из обычных почтовых сообщений, но не обнаруживает их во вложениях HTML. «Это не тривиальный баг, связанный с форматом данных; он лежит в самой природе программного обеспечения, — говорит Хейселтон. — Hotmail — это служба, за которой следят все серьезные охотники. … Большинство бесплатных почтовых служб можно взломать, и новые возможности для этого обнаруживаются чуть ли не каждые три недели. Страшно то, что есть люди, которые увлекаются этим».

В прошлом Хейселтон обнаружил еще несколько багов, включая лазейку в почтовой программе Eudora и дефект Netscape, позволяющий веб-мастерам видеть закладки пользователей.

В Microsoft, которой принадлежит Hotmail, получить комментарии пока не удалось.

Где купить: продукты Microsoft
Обсуждение и комментарии

vlad vul - vulbds.ru
11 May 2000 6:11 PM
Cool!
Полно сайтов передают пароль в куках!
Теперь они все компромисед
 

eug - eugefnet.org
12 May 2000 9:22 AM
А что за HTML- вложение? Есть ли где подробное описание?

 

master - pavel_badiinemail.ru
12 May 2000 9:38 AM
2 vlad

ту вопрос не про куки, а про то что файло с кукой отсылается злоумышленнику. Читайте внимательно, дружище.
 

UVIX
14 May 2000 12:11 PM
Kakoy takoy Охотник за «клопами» ?
 

lesha - leshayahoo.com
15 May 2000 2:28 PM
esli by proveryaya cookers oni zapominali i slichali by IP komputera, ot kotorogo prishel zapros na avtorizaciyu - nebylo by problem.
IMHO vse fiksiruetsya v 30 sekund.
Normal`nye sajty vse ravno ne hranyat v cookies userid 'n' password..
Vse ehto tak ne novo..
 

Dmitry Grigorovich - odipbiogate.com
21 May 2000 7:04 PM
To UVIX:

"Охотник за клопами" - судя по всему дурной перевод от "охотник за багами". От английского bug - это ошибка в программе, или жук, которые почему-то названы клопами. Лучше бы перевели "охотник за жуками" - и то понятнее было бы.

 

 

← апрель 2000 5  6  9  10  11  12  15  16  17 июнь 2000 →
Реклама!
 

 

Место для Вашей рекламы!