HTTPS 漏洞泄漏微軟賬戶個人信息

HTTPS連接通常可以為用戶帶來一定程度的私密性和安全性，但是據透露，當用戶使用HTTPS連接到他們的微軟用戶帳戶頁面Outlook.com或者OneDrive.com的時候，連接泄漏了唯一標識，可用于檢索用戶姓名和個人資料照片明文。

該漏洞最早發現由北京一位博主發現，然后由Ars Technica測試確認。他們表示，捕獲連接Outlook.com 或者OneDrive.com Windows帳戶頁面的數據包，可以顯示主機對DNS查詢請求，格式為cid- [用戶的CID] .users.storage.live.com。測試還發現，用于確保服務進程安全的傳輸層安全交換（SNI）的擴展數據當中也包含了用戶的CID信 息。

總之，這意味著，該CID可用于檢索用戶的頭像，并且也可以經由OneDrive站點用于檢索用戶的帳戶顯示名稱。通過從微軟的 Live服務與CID訪問元數據，別人也可以檢索有關賬戶上次訪問和創建時間信息。相同的元數據可以曝光與Live日歷應用程序相關信息，包括用戶位置信 息。

這類漏洞可能允許其他人使用CID作為一個跟蹤器，即使在用戶使用Tor網絡連接。從相同的IP地址的其它流量來關聯對象身份。盡管Tor等匿名網絡可以掩蓋來源點，但是一旦對方脫離Tor出口節點，CID信息可以識別對方身份。

微軟發言人告訴Ars Technica，該公司已經意識到這個問題，并準備進行修正。

轉載自：cnbeta.com