Author

Topic: Безопасность сайтов Microsoft оставляет желать л&#1 (Read 432 times)

hero member
Activity: 1484
Merit: 505
Я всегда говорил что у мелкомягких руки из *опы выросли. Ничего нормально сделать не могут сами.
full member
Activity: 210
Merit: 100
Майкрософт все вещи выпускает с дырками а потом успешно (но не сразу) их ликвидирует
а дырочка то старая и это скорее даже дырень
hero member
Activity: 1078
Merit: 512
Майкрософт все вещи выпускает с дырками а потом успешно (но не сразу) их ликвидирует
hero member
Activity: 826
Merit: 502
Безопасность сайтов Microsoft оставляет желать лучшего
https://xakep.ru/2015/10/08/cid-in-urls/

Блогер из Пекина, известный как ramen-hero, нашел интересный нюанс в работе онлайновых сервисов Microsoft, таких как Outlook.com и OneDrive.com. Хотя сервисы используют HTTPS, уникальный идентификатор любого пользователя можно заполучить без особых проблем.

Используя в качестве трибуны блог под названием Annoyed Microsoft User (Злой пользователь Microsoft), исследователь рассказал, что проблема заключается в уникальных идентификаторах CID. Каждому пользователю сервисов компании присваивается 64-битный числовой ID (вида 039827D56AE85E00), который API Microsoft используют для идентификации пользователя и ассоциации с аккаунтом. Проблема в том, что сервисы технологического гиганта отдают CID в виде обычного текста  в URL.



При работе с Outlook.com, OneDrive или при посещении страницы аккаунта  Microsoft (даже через HTTPS), CID отображается прямо в адресе URL. Это означает, что перехватить его может любой, кто имеет доступ к DNS-трафику, трафику пользователя или может перехватить TLS handshake. Если жертва использует Tor, CID виден на выходном узле. Если жертва использует прокси, CID обнаружит любой, у кого есть доступ к логам веб-трафика.

Зная CID пользователя, атакующий может узнать дату создания аккаунта Microsoft, ФИО владельца и увидеть его фото. Кроме того, настройки некоторых приложений (таких как «Календарь») доступны публично, а это означает, что хакер может вычислить и местонахождение жертвы. Трафик пользователей, связавших Skype с аккаунтом Microsoft, даже не нужно прослушивать. Достаточно знать имя аккаунта Microsoft, и CID можно получить через приложение People.

В заключение исследователь признает, что возможно его паранойя чересчур сильна, а уязвимость, на самом деле, пустяковая. Ramen-hero призвал всех тех, кого не устраивает подобное положение вещей, писать в Microsoft. Ведь компания с легкостью может исправить данную проблему и перестать демонстрировать ID своих пользователей всему интернету.
Jump to: